• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

مقالات

Arka | آرکا - راهکارهای جامع شبکه و امنیت/مقالات
15 سپتامبر 2021

معرفی تجهیزات مهم امنیت شبکه

معرفی اجمالی تعدادی از تجهیزات مهم امنیت شبکه که در شرکت رایان سامانه آرکا ارائه می شوند

معرفی تجهیزات مهم امنیت شبکه Firewall

Firewall یا دیوار آتش چیست؟

فایروال یک سیستم امنیتی است که بر ترافیک ورودی و خروجی شبکه نظارت می‌کند و عبور داده‌ها را بر اساس مجموعه‌ای از قوانین امنیتی، مجاز و یا مسدود می‌کند. هدف فایروال ایجاد سدی بین شبکه داخلی و ترافیک ورودی از منابع خارجی (مانند اینترنت) جهت مسدود کردن ترافیک‌های مخرب مانند ویروس‌ها و هکرها است.

Firewall چگونه کار می‌کند؟

هر فایروال به‌صورت یک دیوار محافظ عمل می‌کند که دارای دریچه‌هایی است که تنها برای عبور داده‌های مجاز باز می‌شوند. تمام داده‌های مجاز و غیرمجاز از طریق قوانین پیش‌فرض فایروال و یا تعیین‌شده توسط مدیر شبکه مشخص می‌شوند. بر اساس این قوانین فایروال تصمیم می‌گیرد که داده‌هایی که به سمت شبکه یا سیستم شخصی می‌آیند مخرب هستند یا خیر. به این قوانین در اصطلاح Rule گفته می‌شود.

قوانین (Rule) نقش مهمی در کارایی فایروال و امنیت شبکه بازی می‌کنند. به‌عنوان‌مثال یکی از فعالیت‌های مخرب در یک کامپیوتر برای افراد بی‌اطلاع از ناامنی‌های شبکه‌هایی مانند اینترنت می‌تواند با استفاده از ریموت دسکتاپ انجام شود. به همین دلیل پورت‌های مربوط به ریموت دسکتاپ به‌صورت دو طرفه (InBound) یا(OutBound)  به‌صورت پیش‌فرض روی فایروال سیستم بسته‌شده است.

وظایف Firewall

Firewall‌ها وظایف دیگری نیز علاوه بر نظارت بر ترافیک‌های ورودی و خروجی دارند که به صورت خلاصه موارد زیر را شامل می‌شوند:

  • محافظت از منابع
  • ایجاد امکان دسترسی مجاز
  • مدیریت و کنترل ترافیک شبکه
  • ذخیره رویدادها و گزارش آن‌ها
  • واسطه یا میانجی

نصب و راه‌اندازی Firewall

Firewall سخت‌افزاری

این نوع از Firewallها برنامه‌هایی هستند که توسط شرکت‌های سازنده بر روی یک سخت‌افزار تعبیه شده‌اند و به شکل یک قطعه خارجی در مسیر یک مسیریابrouter) ) یا روی آن نصب می‌شوند. Firewall‌های سخت‌افزاری عملکرد مطلوبی در لایه‌های ابتدایی دارند و درصورتی‌که کارایی لازم را داشته باشند باعث می‌شوند ترافیک‌های سالمی به Firewall‌های نرم‌افزاری برسد.

Firewall نرم‌افزاری

فایروال‌های نرم‌افزاری روی سیستم‌عامل نصب می‌شوند و قادرند ترافیک شبکه را در لایه‌های محدودی کنترل کنند. به این معنی که تنها قادر است بخشی از لایه‌های شبکه را که به سیستم‌عامل منتقل و مربوط می‌شود, کنترل کند و نمی‌تواند ترافیک قبل از سیستم‌عامل را کنترل کند.

بهترین Firewallها

  1. Sophos XG
  2. Fortinet FortiGate
  3. Cisco Firepower NGFW Firewall
  4. SANGFOR NGAF
  5. Check Point NGFW
  6. pfSense
  7. Cisco ASA Firewall
  8. Check Point CloudGuard Network Security
  9. Palo Alto Networks NG Firewalls

معرفی تجهیزات مهم امنیت شبکه UTM

UTM چیست؟

UTM یا Unified Threat Management به معنای مدیریت تهدید یکپارچه می باشد. UTMها معمولاً شامل بسته های امنیتی کامل برای محافظت از شبکه در مقابل تهدیداتی از جمله : ویروس‌ها، هرزنامه‌ها، بد‌افزار ها، برنامه‌های کلاه‌برداری، حملات امنیتی، نفوذ هکرها و… می‌باشد. این بسته‌های امنیتی معمولاً شامل: فایروال، آنتی ویروس‌، آنتی اسپم، IPS و… می‌باشند.

UTM چگونه کار می‌کند؟

UTM در حقیقت مجموعه ابزاری هستند که در جهت ایمن‌سازی لایه‌های مختلف شبکه به‌کار می‌روند و شامل مجموعه‌ای کامل و جامع از تمامی راهکارهای امنیتی از جمله:

  • برقراری دیوار آتش Identity Based Firewall
  • ایجاد شبکه خصوصی مجازی Virtual Private Network (VPN)
  • ضدویروس (Anti-Virus)ضد هرزنامه (Anti-Spam)
  • شناسایی و جلوگیری از نفوذ گران (Intrusion Detection and Prevention)
  • فیلترینگ محتوی (Content Filtering)
  • مدیریت پهنای باند (Bandwidth management)
  • ضد جاسوس‌افزار، ضد برنامه‌های کلاه‌برداری Anti-Spyware/Anti-Phishing/AntiPharming

چرا از UTM استفاده می‌کنیم؟

مدیریت یکپارچه تهدیدات  (UTM) کارکردهای مختلف امنیتی و شبکه‌ای را در یک دستگاه با یکدیگر ادغام می‌کند تا از کسب‌وکارهای کوچک و متوسط محافظت نماید و درعین‌حال زیرساخت آن‌ها را ساده‌تر کند. UTM به مدیران این امکان را می‌دهد تا به‌طور کامل از نیروی کار سیار، سرویس‌های ابری و دیگر فناوری‌های در حال ظهور به‌عنوان یک مزیت رقابتی استفاده کنند؛ درعین‌حال این کار سبب کاهش ریسک‌های تحمیل‌شده توسط باج افزارها، fishing و دیگر تهدیدات امنیت سایبری در حال تکامل می‌شود.

امکان مدیریت واحد و مجتمعِ موارد زیر نیز از مزیت‌های UTM است که باعث انتخاب UTM توسط مدیران می‌شود :

  • فیلترینگ بر اساس محتوا
  • کنترل ویروس‌ها و هرزنامه‌ها
  • دیوار آتشین و ایجاد شبکه‌های خصوصی مجازی
  • امکان نصب آسان در شبکه
  • بهره‌گیری از سیستم‌های دفاعی جهت واکنش سریع و بلادرنگ به هرگونه تهدید شبکه‌ای
  • مقرون‌به‌صرفه بودن ازلحاظ اقتصادی و کم بودن هزینه‌های نصب و نگهداری سیستم
  • بالا بردن بهره‌وری شبکه
  • امکان کنترل متمرکز

محل قرارگیری UTM بطور پیش فرض کجاست؟

UTM همیشه در قسمت Junction Point شبکه یعنی قسمتی که شبکه داخلی به شبکه های دیگر متصل می‌شود یا با اینترنت ارتباط برقرار می‌کند قرار می‌گیرد که به آن Edge شبکه نیز گفته می‌شود و از شبکه داخلی در برابر نفوذ مهاجمان و ابزارهای مخرب حفاظت می‌کند.

معرفی تجهیزات مهم امنیت شبکه

بهترین UTMها

  1. arkaGate
  2. Sophos UTM
  3. Sophos Cyberoam UTM
  4. UserGate UTM
  5. UTM Hillstone
  6. Meraki MX
  7. WatchGuard Firebox
  8. Juniper SRX
  9. Untangle NG Firewall
  10. Stormshield Network Security
  11. Juniper vSRX

تفاوت  UTM و Firewall

Firewall ترافیک شبکه را در IP و Port محدود می‌کند و بعضی از آنها دارای بازبینی عمومی (stateful inspection) هستند، به‌طوری‌که آنها الگوریتم‌های اولیه TCP را نظارت می‌کنند. یک Firewall برای مسدود کردن تمام پروتکل‌ها و انواع ترافیک استفاده می‌شود، اما امکان حسابرسی دیتا براساس کاربر و لایه بالاتر از ۴ OSI را نخواهد داشت.

Unified Threat Management یک گام فراتر رفته، در مبحث UTM از یک فایروال استفاده می‌شود و بااین‌وجود، بازرسی عمیق‌تر در بسته‌ها در لایه‌های ۵، ۶ یا ۷ در لایه OSI بررسی می‌شود، علاوه بر قابلیت فایروال، UTM همچنین باید قابلیت‌هایی را که به نام Intrusion Detection و یا Prevention Intrusion IDS یا IPS، ضدویروس شبکه یا سایر موارد پیشگیری از بدافزار شناخته می‌شود را شامل شود.

معرفی تجهیزات مهم امنیت شبکه DLp

DLP  چیست؟

پیشگیری از نشت داده ها DLP Data Leakage Prevention ویا Data Loss Protection روشی است برای اطمینان از این که کاربران نهایی اطلاعات حساس و مهم را به خارج از شبکه شرکت ارسال نمی کنند. DLP یک راهکار نرم افزاری شامل مجموعه ای از سیایت های محافظت از اطلاعات است به نحوی که کاربران غیرمجاز نتوانند داده هایی را که افشای آنها می تواند سازمان را در معرض خطر قرار دهد چه به طور تصادفی و یا خود خواسته به اشتراک بگذارند و یا از سازمان خارج کنند. به عنوان مثال، اگر یک کارمند سعی کند یک ایمیل تجاری را به خارج از حوزه شرکت منتقل کند یا یک پرونده شرکتی را در یک سرویس ذخیره سازی ابری مانند Dropbox بارگذاری کند، به کارمند این اجازه داده نمی شود.

در حالی که سالها پیش شرکتهایی بوند که درگاه های USB را با چسب مسدود می کردند تا از خروج اطلاعات شخصی شرکت جلوگیری شود، امروزه محصولات DLP مدرنتر و بسیار پیچیده تر هستند تا در حفظ امنیت و ایمن سازی اطلاعات به شما کمک کنند.

طبقه بندی و برچسب زدن به پرونده های مالکیت معنوی و سایر دارایی های حساس تجاری برای میزان محرمانه بودن مورد نیاز است. این محصول همچنین با استفاده از قوانین تجارت، مدیران را قادر می سازد تا میزان و شیوه انتقال داده ها توسط کاربران را مدیریت کند.

عملکردهای اصلی سیستم‌های DLP

  • کنترل انتقال اطلاعات از طریق اینترنت با استفاده از E-Mail ، HTTP ، HTTPS ، FTP ، Skype ، ICQ و سایر برنامه‌ها و پروتکل‌ها؛
  • کنترل ذخیره اطلاعات در رسانه های خارجی – CD ، DVD ، فلش ، تلفن‌های همراه و غیره.؛
  • حفاظت از اطلاعات در برابر نشت با کنترل خروجی داده‌ها برای چاپ ؛
  • مسدود کردن تلاش برای ارسال/ذخیره اطلاعات محرمانه ، اطلاع رسانی به مدیران IS در مورد حوادث ، ایجاد نسخه سایه ، استفاده از پوشه قرنطینه.
  • جستجو برای اطلاعات محرمانه در ایستگاه‌های کاری و سرورهای فایل توسط کلمات کلیدی ، برچسب های سند ، ویژگی های فایل و چاپ دیجیتال.
  • جلوگیری از نشت اطلاعات با کنترل چرخه زندگی و حرکت اطلاعات محرمانه.

حفاظت از اطلاعات محرمانه در یک سیستم DLP در سه سطح انجام می شود:

  • سطح ۱- داده در حرکت: داده‌های منتقل شده از طریق کانال‌های شبکه:
    • وب‌پروتکل‌های (HTTP / HTTPS) ؛
    • خدمات پیام فوری (ICQ، QIP،اسکایپ،MSN و غیره)؛
    • نامه‌های شرکتی و شخصی (POP،SMTP، IMAP و غیره)؛
    • سیستم های بی‌سیم (WiFi، بلوتوث، ۳G و غیره)؛
    • اتصالات FTP؛
  • سطح ۲- داده در هنگام استراحت: داده های ذخیره شده بصورت ثابت در:
    • سرورها
    • ایستگاه‌های کاری
    • لپ تاپ؛
    • سیستم های ذخیره اطلاعات DSS))
  • مرحله ۳- داده در حال استفاده: داده های مورد استفاده در ایستگاه های کاری

در سیستم‌های DLP، اطلاعات محرمانه با تعدادی از معیارها و راه‌های مختلف قابل شناسایی است. اصلی‌ترین آن‌ها عبارت است از:

  • تجزیه و تحلیل ریخت شناسی اطلاعات؛
  • تجزیه و تحلیل آماری اطلاعات؛
  • عبارات منظم (الگوها)؛
  • روش چاپ دیجیتال؛
  • روش علائم دیجیتال؛

مهم‌ترین دلایل ضرورت استفاده از DLP

پررنگ‌تر شدن نقش CISO در سازمان‌ها

هرروزه شرکت‌های بیشتر و بیشتری اقدام به استخدام مدیر ارشد امنیت اطلاعات  (CISO) می‌کنند. معمولا این مدیران ارشد به طور مستقیم به مدیرعامل شرکت گزارش می‌دهند و مدیرعامل نیز به دنبال اطلاع از برنامه‌های سازمان برای جلوگیری از نشت اطلاعات است. ارزش تجاری DLP در این‌جا به خوبی مشخص می‌شود، زیرا راهکارهای DLP امکانات لازم برای تهیه‌ گزارش را در اختیار مدیر ارشد امنیت اطلاعات قرار می‌دهند و این مدیران می‌توانند با استفاده از این امکانات به طور مرتب به مدیرعامل گزارش بدهند.

لزوم تطبیق‌پذیری با مقررات حفاظت از داده

مقررات بین‌المللی و داخلی حفاظت از داده همواره در حال تغییر و تکامل هستند و سازمان شما باید برای تطبیق‌پذیری با این قوانین آماده باشد. طی سال‌های گذشته مقرراتی مانند GDPR تدوین شده‌اند که الزامات حفاظت از داده را بسیار سختگیرانه‌تر اعمال کرده‌اند. راهکارهای DLP انعطاف‌پذیری کافی را در اختیار سازمان‌ها قرار می‌دهند تا بتوانند خود را به‌سرعت و با کمترین زحمت با آخرین تغییرات به‌وجودآمده در مقررات منطبق کنند.

افزایش بسترهای حفاظت از اطلاعات

استفاده‌ی روزافزون از فضاهای ابری، شبکه‌های پیچیده تامین خدمات و دیگر سرویس‌هایی که قادر به کنترل کامل آن‌ها نیستید، امر حفاظت از داده را پیچیده‌تر و دشوارتر کرده است. شفافیت نسبت به رویدادهای رخ‌داده حول داده‌ها و اطلاعات جانبی این رویدادها نقش بسیار مهمی در پیشگیری از نشت یا سرقت داده‌های حساس دارد.

افزایش تعداد و گستردگی نفوذهای اطلاعاتی

طیف گسترده‌ای از مهاجمان، از کشورهای بیگانه گرفته تا مجرمان سایبری و حتی کارکنانی که مقاصد خرابکارانه دارند، داده‌های حساس سازمان شما را مورد هدف قرار می‌دهند؛ این مهاجمان ممکن است انگیزه‌های مختلفی مانند سرقت اسرار تجاری، سودجویی شخصی یا اهداف سیاسی داشته باشند. DLP می‌تواند از شما در برابر تمام حملات داخلی و خارجی محافظت کند. فقط طی چند سال گذشته هزاران نفوذ اطلاعاتی و حادثه‌ی امنیتی رخ داده است. کافی است نگاهی به اخبار دنیای امنیت سایبری بیندازید تا متوجه اهمیت حفاظت از داده‌های سازمان خود شوید.

ارزش بسیار بالای داده‌ها

داده‌های سرقت‌شده معمولا در دارک‌وب به فروش می‌رسند و افراد و گروه‌های مختلف می‌توانند از آن‌ها برای مقاصد سودجویانه‌ی خود استفاده کنند. از آن‌جایی که برخی از این داده‌ها به قیمت چندین هزار دلار به فروش می‌رسند، هرروزه شاهد حملات بیشتری با هدف سرقت داده‌ها و کسب درآمد از طریق آن‌ها هستیم.

افزایش حجم داده‌های حساس

تعریف «داده حساس» طی سال‌های اخیر بسیار گسترده شده است. امروزه داده حساس دارایی‌های غیرملموس مانند مدل‌های قیمت‌گذاری و رویکردهای تجاری را نیز شامل می‌شود. این به آن معناست که امروزه سازمان شما باید از داده‌های بسیار بیشتری محافظت کند، که به خودی خود باعث می‌شود هزینه، انرژی و پرسنل مورد نیاز برای حفاظت از داده‌ها به طور قابل ملاحظه‌ای افزایش یابد. راهکارهای DLP با ابزارها و امکانات و هم‌چنین مقیاس‌پذیری بی‌نظیر خود به شما کمک می‌کنند با کمترین هزینه‌ی ممکن از تمام داده‌های خود حفاظت کنید.

کمبود نیروی انسانی متخصص

پیش‌بینی‌ها نشان می‌دهد تا پایان سال ۲۰۲۱ در حوزه امنیت ۳٫۵ میلیون موقعیت شغلی پرنشده وجود خواهد داشت. این امر نشان‌دهنده‌ی کمبود شدید در زمینه‌ی نیروی انسانی متخصص در حوزه‌ی امنیت است که سازمان‌ها را با چالشی جدی مواجه کرده است. سرویس‌های DLP مدیریت‌شده با انجام بخش قابل توجهی از وظایف تیم امنیت، می‌توانند خلأ موجود در این زمینه را پر کرده و کمبود پرسنل متخصص را جبران کنند.

فناوری‌های DLP به طور گسترده به دو دسته طبقه بندی می‌شوند:

Enterprise DLP

این دسته از راهکارها، به صورت جامع و بسته بندی شده به صورت یک agent برای سرورها و دسکتاپ‌ها، دستگاه‌های مجازی و فیزیکی، برای نظارت بر شبکه‌ها و ترافیک ایمیل یا وسایل نرم افزاری برای کشف اطلاعات ارائه می‌شود.

Integrated DLP

این دسته از راه‌حل‌ها محدود به ایمن بودن دروازه‌های ایمیل (SEG)، دروازه‌های وب ایمن (SWG)، سیستم عامل‌های مدیریت محتوای شرکت (ECM)، ابزار طبقه بندی اطلاعات، ابزارهای کشف اطلاعات، محصولات رمزگذاری ایمیل و کارگزاران امنیتی دسترسی به ابر (CASB) هستند.

بهترین DLPها

  1. DLP Safetica
  2. Zecurion DLP
  3. GFI Endpoint Security
  4. Symantec Data Loss Prevention
  5. Forcepoint Data Loss Prevention
  6. Endpoint Protector
  7. Digital Guardian
  8. Code42 Next-Gen DLP
  9. McAfee Total Protection for Data Loss Prevention
  10. Microsoft Data Loss Prevention
  11. GTB Technologies Inspector

معرفی تجهیزات مهم امنیت شبکه PAM (Privileged Access Management)

PAM (Privileged Access Management) چیست؟

مدیریت دسترسی ممتاز (Privileged Access Management) به اختصار PAM به سامانه هایی گفته می شود که حساب کاربرانی را که دارای مجوز دسترسی به منابع مهم و شرکتی هستند، به طور ایمن مدیریت می کنند. اینها ممکن است مدیران سیستم ها، دستگاهها، برنامه ها و سایر انواع کاربران باشند.

حسابهای کاربری ممتاز (Privileged Accounts) اهداف بسیار بالایی برای مجرمان اینترنتی است. این به این دلیل است که آنها مجوزهای بالایی را در سیستم ها دارند و به آنها امکان دسترسی به اطلاعات بسیار محرمانه و یا تغییر در سطح مدیریتی در برنامه ها و سیستم های مهم ماموریت را می دهند. در سال گذشته، ۴۴ درصد از نقض داده ها مربوط به اکانتهاب سطح بالا بوده است.

از مدیریت دسترسی ممتاز  (Privileged Access Management)گاهی اوقات به عنوان مدیریت حساب ممتاز (Privileged Account Management) یا مدیریت جلسه ممتاز (Privileged Session Management) نیز یاد می شود. مدیریت جلسه ممتاز در واقع یکی از اجزای یک سیستم PAM خوب است.

سیستم های مدیریت دسترسی ممتاز چگونه کار می کنند؟

یک مدیر PAM از پورتال PAM برای تعریف روش های دسترسی به حساب ممتاز در میان برنامه های مختلف و منابع سازمانی استفاده می کند. اعتبار حساب های ممتاز (مانند پسوردهای های آنها) در یک محل مخصوص رمز عبور بسیار امن ذخیره می شود. سرپرست PAM همچنین از پورتال PAM برای تعیین خط مشی افرادی که می توانند دسترسی به این حسابهای ممتاز و تحت چه شرایطی را داشته باشند استفاده می کند.

کاربران دارای امتیاز از طریق PAM وارد سیستم می شوند و بلافاصله دسترسی به حساب کاربری ممتاز را درخواست یا فرض می کنند. این دسترسی ثبت شده است و برای انجام انحصاری وظایف خاص موقت باقی می ماند. برای اطمینان از امنیت، معمولاً از کاربر PAM خواسته می شود توجیهی برای استفاده از حساب ارائه دهد. بعضاً تأیید مدیر نیز لازم است. غالباً به کاربر اجازه دسترسی به گذرواژه های واقعی که برای ورود به برنامه ها استفاده می شود داده نمی شود اما در عوض از طریق PAM به وی دسترسی داده می شود. علاوه بر این ، PAM اطمینان حاصل می کند که پسوردها اغلب به طور خودکار، یا در فواصل منظم یا پس از هر بار استفاده، تغییر می کنند.

سرپرست PAM می تواند از طریق پورتال PAM فعالیتهای کاربر را رصد کند و حتی در صورت لزوم جلسات زنده را در زمان واقعی مدیریت کند. PAM های مدرن همچنین از یادگیری ماشینی برای شناسایی ناهنجاری ها و استفاده از امتیاز دهی به خطر برای هشدار به مدیر PAM در زمان واقعی از عملیات پر خطر استفاده می کنند.

چرا باید از PAM استفاده کنیم؟

سامانه PAM یا مدیریت سطح دسترسی، باعث امن نگه‌داشتن سازمان شما در مقابل حوادث ناخواسته یا سوءاستفاده های عمدی و غیرعمدی از طریق دسترسی طبقه‌بندی‌شده می‌شود. این سامانه برای سازمان‌های متوسط، بزرگ و شرکت‌های در حال رشد بسیار مفید می‌باشد. هرچقدر که فناوری اطلاعات در سازمان شما بزرگ‌تر و پیچیده‌تر باشد، به طبقه‌بندی بیشتری برای کاربران خود نیاز دارید. این دسته‌بندی ممکن است که شامل کارمندان، کاربران راه دور، پیمانکاران و حتی کاربران خودکار باشد.

برخی از کاربران ادمین می‌توانند پروتکل‌های امنیتی موجود را نادیده می‌گیرند و آنها را دور می‌زنند، این یک آسیب‌پذیری بزرگ برای امنیت سازمان است. اگر برخی از ادمین ها بتوانند به اطلاعات طبقه‌بندی‌شده و محرمانه دسترسی پیدا کنند و اگر بتوانند فعالیت‌های خود را مخفی کنند مشکل بزرگی رخ خواهد داد. جدا از تهدیدات درون‌سازمانی که ممکن است توسط کارمندان و ادمین ها رخ دهد، مهاجمان بیرون سازمانی هستند که می‌توانند به این منابع و اطلاعات دسترسی پیدا کنند. سامانه PAM این مشکل را حل می‌کند.

سامانه مدیریت سطح دسترسی راهکاری امن برای مدیریت و نظارت به این‌گونه دسترسی‌های غیرمجاز است و جلوی سو استفاده منابع داخلی و خارجی را می‌گیرد.

ابزارها و نرم افزارهای PAM معمولاً ویژگی‌های زیر را ارائه می‌دهند:

  • احراز هویت چند عاملی MFA)) برای مدیران؛
  • مدیر دسترسی که مجوزها و اطلاعات ممتاز کاربران را ذخیره می‌کند.
  • طاق گذرواژه که رمزهای امن و ممتاز را ذخیره می‌کند.
  • ردیابی جلسه پس از اعطای دسترسی ممتاز؛
  • مجوزهای پویا به عنوان مثال، فقط اجازه دسترسی برای دوره‌های زمانی خاص؛
  • تأمین و حذف خودکار برای کاهش تهدیدات داخلی؛ و
  • ابزارهای ثبت حسابرسی که به سازمان‌ها کمک می‌کند تا مطابقت را رعایت کنند.

معماری PAM

بهترین PAMها

  1. ARCON Privileged Access Management
  2. SenhaSegura PAM
  3. Manageengine PAM360
  4. CyberArk Privileged Access Manager
  5. One Identity Safeguard
  6. Thycotic Secret Server
  7. BeyondTrust Endpoint Privilege Management
  8. WALLIX Bastion
  9. Fudo PAM
  10. One Identity Privileged Access Suite for Unix

معرفی تجهیزات مهم امنیت شبکه آنتی ویروس سازمانی

آنتی‌ویروس سازمانی  با ارائه مکانیزم حفاظتی چندلایه‌ای در مقابل تهدیدات پیچیده سایبری قادر است سطح بالاتری از امنیت را برای سازمان‌هایی که اطلاعات حساسی را میزبانی می‌کنند ارائه کند. به‌طور مشخص، در نسخه‌ سازمانی آنتی ویروس‌ها، عملکرد به صورتی است که قادر است به شکل صریح و روشنی از منابع حساس سیستمی محافظت کند.

این نسخه از آنتی‌ ویروس‌ها از فناوری‌های نوین و گاهی اوقات مبتنی بر هوش مصنوعی برای محافظت از پلتفرم‌های مختلف نظیر ویندوز، مک و لینوکس استفاده می‌کنند. ویژگی‌های مهم یک آنتی ویروس سازمانی عبارت است از:

  1. مدیریت دارایی‌ها
  2. گزارش دسترسی به فایل‌ها
  3. پیشگیری از ورود بدافزارها بر مبنای فناوری‌های روز
  4. گزارش‌گیری جامع
  5. به‌روزرسانی وصله‌های امنیتی
  6. قابلیت عدم دریافت هرزنامه‌ها
  7. کنترل برنامه‌های کاربردی
  8. ارائه گزارش دقیق در مورد عملکرد چاپگرها
  9. ممانعت از دسترسی غیر مجاز مبتنی بر پروتکل RDP
  10. به‌روزرسانی مبتنی بر عامل Agent))
  11. ارائه رمزهای عبور یکبار مصرف و مدیریت شده
  12. ارائه ابزار مدیریت پسوردها
  13. اعلام بلادرنگ موارد مشکوک برای پیشگیری از آلوده شدن سامانه‌ها به بدافزار

بهترین آنتی‌ویروس‌های سازمانی سال ۲۰۲۱

  1. Bitdefender GravityZone Business Security
  2. Kaspersky Endpoint Security for Business Select
  3. Kaspersky Small Office Security
  4. ESET Endpoint Antivirus
  5. Symantec Endpoint Protection
  6. Avira Prime
  7. Sophos Intercept X Advanced
  8. GDATA Endpoint Protection Business
  9. SEQRITE Endpoint Security
  10. Symantec End-User Endpoint Security

مقایسه تجهیزات مهم امنیت شبکه

شرکت رایان سامانه آرکا ارائه دهنده راهکارهای امنیتی شبکه 

12 سپتامبر 2021

چرا از مدیریت پرینت (چاپبان و یا papercut) استفاده کنیم؟

نرم افزار مدیریت چاپ ، که گاهی اوقات به عنوان نرم افزار مدیریت خروجی نیز شناخته می شود، برای بهینه سازی استفاده از چاپگرها و چاپگرهای چند منظوره طراحی شده است. مدیریت چاپ گزینه هایی برای احراز هویت کاربر برای دسترسی به منابع را ارائه می دهد.

چرا استفاده از نرم افزار های مدیریت چاپ در مجموعه های بزرگ بسیار مهم و ارزشمند است؟

  1. کاهش ایجاد ضایعات کاغذ و کربن

نرم افزار های مدیریت چاپ با استفاده از سهمیه بندی کاغذ و تعداد چاپ، کاربران را به کاهش مصرف منابع تشویق میکند و همین امر باعث صرفه جویی کلان در سازمان ها بزرگ میشود.

  1. اعمال سیاست ها و مقررارت ویژه برای پرینتر ها

نرم افزار مدیریت چاپ با رهگیری درخواست های چاپ در سرور، سیاست هایی که رفتار خوب را تشویق میکند را در پی میگیرد. فیلترینگ بعضی پرینت ها برای پیاده سازی خط مشی ها و بهبود بهره برداری از منابع نیز استفاده می شود.

  1. امنیت اسناد چاپی و همچنین دستگاه

نرم افزار های مدیریت چاپ از اسناد محرمانه محافظت میکند و حجم چاپ های بدون مالک را کاهش میدهد، ضمن اینکه میتواند در خصوص ایجاد چاپ در زمان های بیکاری سیستم چاپ نیز مدیریت داشته باشد. مدیریت چاپ همچنین میتواند طوری تنظیم شود که اسناد ارسالی برای چاپ نیاز به تایید از طرف مدیری را داشته باشند و اطمینان حاصل شود که مدیران اجازه چاپ را به کاربران میدهند.

  1. نظارت بر گزارشات مربوط به استفاده از منابع

این ویژگی به مدیران این امکان را میدهد که در هر لحظه بتوانند به تمام منابع چاپی سازمان نظارت داشته باشند و بتوانند هر نوع گزارشی ( گزارشات مفصل از صفحات چاپ شده تا ریز گزارشات) را مشاهده کنند.

  1. پیاده سازی سریع

در نرم افزار های مدیریت پرینتر و چاپ این امکان فراهم شده که مدیران میتوانند به راحتی نرم افزار مورد نیاز برای سرور را نصب نموده و بتوانند پرینتر ها موجود در شبکه را شناسایی کنند.قابل ذکر است که این قابلیت ارتباط مستقیم با سطح دسترسی دارد.

  1. مدیریت مرکزی

نرم افزار های مدیریت پرینت میتوانند این امکان را به ما بدهند که به صورت مرکزی بتوانیم تمام منابع را مدیریت و بررسی کنیم.

  1. امکان ادغام شبکه های داخلی با یکدیگر

نرم افزار مدیریت چاپ میتواند در خصوص ادغام منابع در شبکه های داخلی نیز فعال باشد.

۱۰ دلیل برتر که باید از PaperCut MF استفاده کنید.

PaperCut MF یک راهکار آسان برای پایش و مدیریت کپی و پرینت در سازمان شما است که هزینه‌ها و اثرات زیست محیطی را کنترل می‌کند. PaperCut MF دستورات چاپ شما را بر روی سرور پرینت بررسی و آنالیز می‌کند و سیاست‌های شما را ملزم به اجرا می‌کند.

  1. اسراف و اثرات کربن را حذف کنید

با استفاده از سهمیه بندی PaperCut MF چاپ‌های مسئولانه را محقق سازید و با سیاست‌های چاپی خود هزینه‌های کاغذ، تونر و انرژی را حذف کنید.

  1. سیاست‌های چاپ را در سطح تجاری و گسترده اعمال کنید

با PaperCut MF درخواست‌های چاپ در سرور پرینت رهگیری می‌شود تا عملکردها بر اساس سیاست‌های تشویقی یا تنبیهی کنترل شود. با فیلتر عملکرد کاربر و اسکریپت نویسی پیشرفته (جاوا اسکریپ) سیاست‌های خود را پیاده کنید و بهره وری را افزایش دهید.

برای مثال شاید شما بخواهید عملکردهای فعال‌تر را شناسایی کنید تا پرینترهای با سرعت بالا به آن ها اختصاص دهید. یا می‌توانید به وسیله نمایش اعلان از کاربر نهایی بخواهید تا خروجی مورد نظر را تایید کند. همچنین به صورت خودکار دستورهای پرینت با اندازه اشتباه حذف می شود و در صورت خاموش بودن دستگاه، پرینتر دیگر را پیشنهاد می کند.

  1. راهکار موبایل و دستگاه‌های شخصی

به کاربران اجازه دسترسی به قابلیت پرینت از هر جایی با هر وسیله ی شخصی یا موبایل را می دهد. سیستم عامل، موقعیت مکانی شما، فرمت فایل یا برند پرینتر تفاوتی نمی کند. همه این ها در پروسه های مربوط به PaperCut MF گنجانده شده است.

 

24 آگوست 2021

شناخت و انتخاب راه حل‌های پیشگیری از نشت اطلاعات و داده‌ها Data Loss Prevention(DLP)

 شناخت و انتخاب راه حل‌های پیشگیری از نشت اطلاعات و داده‌ها

آشنایی با Data Loss Prevention(DLP)

شفاف سازی این حوزه

پیشگیری از نشت داده ها یکی از پرحاشیه ترین و درعین حال کمتر شناخته شده ترین ابزارهای موجود در راهکارهای امنیتی است. با وجود تعدادی نام مختلف و حتی رویکردهایی در زمینه این فناوری، درک ارزش نهایی ابزارها و اینکه کدام محصولات با کدام محیط بیشتر مناسب هستند، دشوار است. این گزارش زمینه لازم را در درک DLP ارائه می دهد تا به شما در شناخت این فناوری، دانستن اینکه در محصول به دنبال چه چیزی باشید و بهترین مطابقت با سازمان خود را پیدا کنید، ارائه می دهد.

DLP یک فناوری بالغ است که ارزش قابل توجهی را برای سازمان هایی که به آن احتیاج دارند، با وجود محصولاتی که ممکن است به اندازه سایر حوزه های فناوری اطلاعات بالغ نباشند، ارائه می دهد. بازار در حال حاضر تحت سلطه استارتاپ ها است، اما فروشندگان بزرگ معمولاً از طریق خرید وارد عمل شده اند مانند Safetica و Zecurion.

اولین مشکل در شناخت DLP این است که دریابید در واقع در مورد چه چیزی صحبت می کنیم. نام‌های زیر همه برای توصیف یک بازار استفاده می شوند:

  • پیشگیری/حفاظت از فقدان داده ها
  • پیشگیری/حفاظت از نشت داده ها
  • پیشگیری/حفاظت از فقدان اطلاعات
  • جلوگیری/حفاظت از نشت اطلاعات
  • پیشگیری از Data exfiltration/extrusion
  • نظارت و فیلتر محتوا
  • نظارت و حفاظت از محتوا

DLP رایج ترین عبارت به نظر می رسد، ما برای سادگی از این نام در این گزارش استفاده می کنیم.

تعریف DLP

در مورد آنچه در واقع راه حل DLP را به خطر می اندازد، اجماع وجود ندارد. برخی از افراد رمزگذاری یا کنترل پورت USB را در نظر می گیرند، در حالی که دیگران خود را محدود به مجموعه محصولات کامل می کنند. Securosis ، DLP را به صورت زیر تعریف می کند:

محصولاتی که بر اساس سیاست های مرکزی، داده ها را در زمان استراحت (داده های ایستا)، حرکت و استفاده، از طریق تجزیه و تحلیل محتوای عمیق، شناسایی، نظارت و محافظت می کنند.

بنابراین ویژگی‌های اصلی تعیین کننده عبارتند از:

  • تجزیه و تحلیل محتوای عمیق
  • مدیریت سیاست مرکزی
  • پوشش محتوای گسترده در چندین سیستم عامل و مکان

راه حل های DLP هم از داده های حساس محافظت می کند و هم بینشی در مورد استفاده از محتوا در شرکت ارائه می دهد. تعداد کمی از شرکت ها داده ها را فراتر از آنکه عمومی هستند و سایر موارد طبقه بندی می کنند. DLP به سازمان‌ها کمک می کند تا داده های خود را بهتر بشناسند و توانایی آنها را برای طبقه بندی و مدیریت محتوا بهبود می بخشد.

محصولات Point ممکن است برخی از قابلیت های DLP را ارائه دهند، اما از نظر پوشش (فقط شبکه یا فقط نقطه پایانی) یا قابلیت های تحلیل محتوا محدودتر هستند. این گزارش روی مجموعه های جامع DLP تمرکز می کند، اما برخی از سازمان ها ممکن است دریابند که یک راه حل نقطه ای می تواند نیازهای آنها را برآورده کند.

ویژگی های DLP در مقابل راه حل های DLP

بازار DLP همچنین بین DLP به عنوان یک ویژگی و DLP به عنوان یک راه حل تقسیم شده است. تعدادی از محصولات، به ویژه راه حل های امنیتی ایمیل، عملکردهای اولیه DLP را ارائه می دهند، اما راه حل های کامل DLP نیستند. تفاوت این است:

  • راه حل های DLP هم از داده های حساس محافظت می کند و هم بینشی در مورد استفاده از محتوا در شرکت ارائه می دهد. Few A DLP Product شامل مدیریت متمرکز، ایجاد خط مشی و گردش کار است که به نظارت و حفاظت از محتوا و داده ها اختصاص یافته است. رابط کاربری و عملکرد به حل مشکلات تجاری و فنی حفاظت از محتوا از طریق آگاهی از محتوا اختصاص یافته است.
  • ویژگی های DLP شامل برخی از قابلیت های تشخیص و اجرای محصولات DLP است، اما به وظیفه حفاظت از محتوا و داده ها اختصاص داده نشده است.

این تمایز مهم است زیرا محصولات DLP یک مشکل تجاری خاص را حل می کند که ممکن است توسط واحد تجاری یا مدیر مسئول سایر عملکردهای امنیتی مدیریت شود یا نشود. ما اغلب کاربران غیر فنی مانند مدیران قانونی که مسئول حفاظت از محتوا هستند را می بینیم. حتی منابع انسانی غالباً در تنظیم هشدارهای DLP دخیل هستند. برخی از سازمان‌ها دریافتند که سیاست‌های DLP خود بسیار حساس هستند که یا باید توسط مدیران واحدهای کسب و کار خارج از امنیت مدیریت شوند، یا ممکن است برای یک راه حل اختصاصی بحث شود. از آنجا که DLP به یک مشکل تجاری واضح اختصاص داده شده است (از محتوای من محافظت کنید) که از سایر مشکلات امنیتی متمایز است (از رایانه شخصی من محافظت کنید یا از شبکه من محافظت کنید) اکثر شما باید به دنبال راه حل های اختصاصی DLP باشید.

این بدان معنا نیست که DLP به عنوان یک ویژگی، راه حل مناسبی برای شما نخواهد بود، به ویژه در سازمان های کوچکتر. همچنین به این معنا نیست که تا زمانی که مدیریت DLP جداگانه و اختصاص داده شده به DLP باشد، مجموعه ای شامل DLP نخرید. با ورود فروشندگان بزرگ به این حوزه، تعداد بیشتری مجموعه‌ی مکمل خواهیم دید و اغلب ادغام و انجام تجزیه و تحلیل یا اجرای DLP در محصول دیگر منطقی است، اما ایجاد سیاست، مدیریت و گردش کار اصلی باید به مشکل DLP اختصاص داده شود و از سایر عملکردهای امنیتی جدا شود.

آخرین نکته ای که باید در مورد DLP به خاطر بسپارید این است که در برابر فرایندهای بد کسب و کار (به عنوان مثال مبادله پرونده های پزشکی رمزگذاری نشده با شرکت بیمه شما) و اشتباهات بسیار موثر دیگر است. در حالی که DLP حفاظت در برابر فعالیت های مخرب ارائه می دهد.

آگاهی از محتوا

محتوا در مقابل زمینه

ما باید محتوا را از زمینه متمایز کنیم. یکی از ویژگی های تعیین کننده راه حل های DLP آگاهی از محتوا است. این توانایی محصولات برای تجزیه و تحلیل محتوای عمیق با استفاده از تکنیک های مختلف است و با تجزیه و تحلیل زمینه بسیار متفاوت است. ساده ترین کار این است که به محتوا به عنوان یک نامه و زمینه به عنوان پاکت و محیط اطراف آن فکر کنید.

زمینه شامل مواردی مانند منبع، مقصد، اندازه، گیرندگان، فرستنده، اطلاعات سرصفحه، فراداده، زمان، قالب و هر چیز دیگری کوتاه تر از محتوای خود نامه است. زمینه بسیار مفید است و هر راه حل DLP باید شامل تجزیه و تحلیل زمینه به عنوان بخشی از یک راه حل کلی باشد.

یک نسخه پیشرفته تر از تجزیه و تحلیل زمینه، تجزیه و تحلیل زمینه کسب و کار است که شامل تجزیه و تحلیل عمیق تر محتوا، محیط آن در زمان تجزیه و تحلیل و استفاده از محتوا در آن زمان است.

آگاهی از محتوا شامل مشاهده داخل کانتینرها و تجزیه و تحلیل خود محتوا است. مزیت آگاهی از محتوا این است که در حالی که از زمینه استفاده می کنیم، محدودیتی برای آن نداریم. اگر می خواهم از یک قطعه داده حساس محافظت کنم، می خواهم از آن در همه جا محافظت کنم – نه فقط در کانتینرهای حساس. من از داده ها محافظت می کنم، نه از پاکت نامه، بنابراین باز کردن نامه، خواندن آن و تصمیم گیری در مورد نحوه برخورد با آن بسیار منطقی تر است. این کار دشوارتر و زمان برتر از تجزیه و تحلیل زمینه ای اساسی است و ویژگی تعیین کننده راه حل های DLP است.

تجزیه و تحلیل محتوا

اولین قدم در تجزیه و تحلیل محتوا، گرفتن پاکت نامه و باز کردن آن است. سپس باید موتور تحلیل، زمینه را تجزیه و تحلیل کند (ما برای تجزیه و تحلیل به آن نیاز داریم) و به آن بپردازیم. برای یک ایمیل متنی ساده این کار آسان است، اما وقتی می خواهید داخل فایل های باینری را ببینید کمی پیچیده تر می شود. همه راه حل های DLP این مشکل را با استفاده از کرک فایل حل می کنند. کرک فایل، فناوری مورد استفاده برای خواندن و شناخت فایل است، حتی اگر محتوا چند سطح پایین تر باشد. به عنوان مثال، خواندن یک صفحه گسترده Excel که در یک فایل Word فشرده شده است. محصول باید فایل را از حالت فشرده خارج کرده، سند Word را بخواند، آن را تجزیه و تحلیل کند، داده های Excel را بیابد، آن را بخواند و تجزیه و تحلیل کند. موقعیت های دیگر بسیار پیچیده تر می شوند، مانند pdf تعبیه شده در یک فایل CAD. بسیاری از محصولات موجود در بازار امروزه از حدود ۳۰۰ نوع فایل، محتوای جاسازی شده، چندین زبان، مجموعه کاراکترهای دو بایت برای زبان های آسیایی و برداشتن متن ساده از انواع فایل های ناشناس پشتیبانی می کنند. تعدادی از آنها از موتورهای محتوای Autonomy یا Verity برای کمک به شکستن فایل استفاده می کنند، اما همه ابزارها علاوه بر موتور محتوای تعبیه شده، دارای قابلیت اختصاصی بسیار کمی هستند. اگر از رمزگذاری سازمانی با کلیدهای بازیابی استفاده شود، برخی از ابزارها از تجزیه و تحلیل داده های رمزگذاری شده پشتیبانی می کنند و اکثر ابزارها می توانند رمزگذاری استاندارد را شناسایی کرده و از آن به عنوان یک قانون برای مسدود کردن/قرنطینه محتوا استفاده کنند.

تکنیک های تحلیل محتوا

پس از دسترسی به محتوا، هفت تکنیک اصلی تجزیه و تحلیل برای یافتن نقض سیاست ها مورد استفاده قرار می گیرد که هریک دارای نقاط قوت و ضعف خاص خود هستند.

  • عبارات مبتنی بر قانون/نظم: این رایج ترین تکنیک تجزیه و تحلیل موجود در محصولات DLP و سایر ابزارهای دارای ویژگی DLP است. این محتوا را برای قوانین خاصی تجزیه و تحلیل می کند – مانند شماره های ۱۶ رقمی که الزامات کارت اعتباری را برآورده می کند، کدهای صورتحساب پزشکی یا سایر تحلیل های متنی. اکثر راه حل های DLP عبارات معمولی را با قوانین تجزیه و تحلیل اضافی خود تقویت می کنند (به عنوان مثال، نامی در مجاورت آدرس نزدیک شماره کارت اعتباری)

برای چه کاری بهتر است: به عنوان یک فیلتر گذر اول، یا برای تشخیص قطعاتی از داده های ساختار یافته که به راحتی قابل شناسایی هستند مانند شماره کارت اعتباری، شماره های تأمین اجتماعی و کدها/سوابق مراقبت های بهداشتی

نقاط قوت: قوانین به سرعت پردازش می شوند و به راحتی قابل پیکربندی هستند. اکثر محصولات با مجموعه قوانین اولیه ارسال می شوند. این فناوری به خوبی شناخته شده است و به راحتی می توان آن را در انواع محصولات وارد کرد.

نقاط ضعف: مستعد نرخ مثبت کاذب بالا هستند. حفاظت بسیار کمی از محتوای بدون ساختار مانند مالکیت معنوی حساس ارائه می دهد.

  • اثر انگشت پایگاه داده: گاهی اوقات تطبیق دقیق داده ها نامیده می شود. این تکنیک یا یک پایگاه داده یا داده های زنده (از طریق اتصال ODBC) ) را از یک پایگاه داده می گیرد و فقط به دنبال مطابقت دقیق است. به عنوان مثال، شما می توانید یک خط مشی ایجاد کنید که فقط شماره کارت اعتباری را در پایگاه مشتری خود جستجو کنید، بنابراین کارکنان خود را که به صورت آنلاین خرید می کنند نادیده بگیرید. ابزارهای پیشرفته تر به دنبال ترکیب اطلاعاتی هستند، مانند ترکیب جادویی نام یا نام اولیه، با نام خانوادگی، با کارت اعتباری یا شماره تأمین اجتماعی، که باعث افشای کالیفرنیا SB 1386 می شود.

برای چه چیزی بهتر است: داده های ساختار یافته از پایگاه های داده

نقاط قوت: مثبت کاذب بسیار کم (نزدیک به ۰). به شما این امکان را می دهد تا از داده های حساس مشتری محافظت کنید در حالی که دیگر داده های مشابه کارکنان (مانند کارت های اعتباری شخصی آنها برای سفارشات آنلاین) را نادیده می گیرید.

نقاط ضعف: اتصالات زنده می توانند بر عملکرد پایگاه داده تأثیر بگذارند. پایگاه داده های بزرگ بر عملکرد محصول تأثیر می گذارد.

  • تطبیق دقیق فایل: با استفاده از این تکنیک شما یک هش از یک فایل تهیه می کنید و برای هر پرونده ای که با آن اثر انگشت دقیق مطابقت دارد نظارت می کنید. از آنجا که محتویات فایل خود تحلیل نمی شود برخی این را یک تکنیک تجزیه و تحلیل زمینه ای در نظر میگیرند.

برای چه چیزی بهتر است: فایلهای رسانه ای و سایر فایل‌های دوتایی در جایی که تحلیل متنی لزوماً امکان پذیر نیست.

نقاط قوت: روی هر نوع فایل کار می کند، مثبت کاذب کم با مقدار هش به اندازه کافی بزرگ.

نقاط ضعف: برای محتوای ویرایش شده، مانند اسناد استاندارد اداری و فایل‌های رسانه ای ویرایش شده، بی ارزش است.

  • تطبیق جزئی سند: این تکنیک به دنبال مطابقت کامل یا جزئی با محتوای محافظت شده است. بنابراین می توانید برای محافظت از یک سند حساس خط مشی ایجاد کنید و راه حل DLP یا متن کامل سند یا حتی گزیده هایی به اندازه چند جمله را جستجو خواهد کرد. به عنوان مثال، می توانید یک طرح تجاری برای محصول جدید بارگذاری کنید و اگر کارمندی یک پاراگراف را در یک پیام فوری قرار داد، راه حل DLP به شما هشدار می دهد.

اکثر راه حل ها بر اساس تکنیکی معروف به هش دوره ای (cyclical hashing) است که در آن شما قسمتی از محتوا را هش می کنید، تعدادی کاراکتر از پیش تعیین شده را offset می کنید، سپس یک هش دیگر می گیرید و ادامه می دهید تا سند به طور کامل به عنوان یک سری همپوشانی بارگیری شود. مقادیر هش محتوای خروجی از طریق همان تکنیک هش اجرا می شود و مقادیر هش مقایسه می شود. بسیاری از محصولات از هش چرخه ای به عنوان پایه استفاده می کنند، سپس تجزیه و تحلیل زبانی پیشرفته تری را اضافه می کنند.

برای چه چیزی بهتر است: محافظت از اسناد حساس یا محتوای مشابه با متن مانند فایل های (CAD  با برچسب های متن ) و کد منبع. محتوای بدون ساختار که حساس است.

نقاط قوت: قابلیت محافظت از داده های بدون ساختار. به طور کلی مثبت کاذب پایین است (برخی از فروشندگان مثبت کاذب صفر می گویند، اما هر جمله/متن رایج در یک سند محافظت شده می تواند هشدارها را فعال کند). به تطبیق کامل اسناد بزرگ تکیه نمی کند. می تواند نقض خط مشی را حتی در یک مقایسه هش جزئی پیدا کند.

نقاط ضعف: محدودیت های عملکرد در کل حجم محتویات قابل محافظت. عبارات/کلمات رایج در یک سند محافظت شده ممکن است باعث ایجاد مثبت کاذب شود. باید دقیقاً بدانید از چه اسنادی می خواهید محافظت کنید. (رمزگذاری ROT 1 برای فرار کافی است).

  • تجزیه و تحلیل آماری: استفاده از یادگیری ماشینی، تجزیه و تحلیل بیضی و سایر تکنیک‌های آماری برای تجزیه و تحلیل مجموعه ای از محتوا و یافتن نقض خط مشی در محتواهایی که به محتوای محافظت شده شباهت دارد. این دسته شامل طیف گسترده ای از تکنیک های آماری است که در اجرا و اثربخشی بسیار متفاوت است. برخی از تکنیک‌ها بسیار شبیه به آنهایی است که برای مسدود کردن هرزنامه ها استفاده می شود.

برای چه چیزی بهتر است: محتوای بدون ساختار که در آن یک تکنیک قطعی، مانند تطبیق جزئی اسناد، بی تأثیر است. به عنوان مثال، مخزن طرح های مهندسی که بارگیری آنها برای تطبیق جزئی اسناد به دلیل نوسان زیاد یا حجم زیاد غیرممکن است.

نقاط قوت: می تواند با محتویات مبهم تری کار کند که ممکن است نتوانید اسناد دقیق را برای مطابقت جدا کنید. می تواند سیاست هایی مانند “هشدار در مورد موارد خروجی شبیه اسناد موجود در این فهرست” را اعمال کند.

  • مفهومی/واژه نامه: این تکنیک از ترکیبی از فرهنگ لغت ها، قوانین و تجزیه و تحلیل‌های دیگر برای محافظت از محتویات مبهم که شبیه یک “ایده” است استفاده می کند. آوردن مثال آسان تر است – سیاستی که در مورد ترافیک هشدار می دهد که شبیه معاملات داخلی است، که از عبارات کلیدی، تعداد کلمات و موقعیت ها برای یافتن تخلف استفاده می کند. مثال‌های دیگر عبارتند از: آزار جنسی، راه اندازی یک تجارت خصوصی از طریق اکانت کار، و جستجوی شغل.

برای چه چیزی بهتر است: ایده های کاملاً بدون ساختار که با طبقه بندی ساده بر اساس تطبیق اسناد، پایگاه های داده یا سایر منابع ثبت شده مخالف هستند.

نقاط قوت: همه سیاست ها یا محتویات شرکت را نمی توان با استفاده از مثال های خاص توصیف کرد. تجزیه و تحلیل مفهومی می تواند نقض خط مشی را که به طور شفاف تعریف شده است، پیدا کند که سایر تکنیک ها حتی نمی توانند برای نظارت به آن فکر کنند.

نقاط ضعف: در اکثر موارد اینها توسط کاربر قابل تعریف نیستند و مجموعه قوانین باید توسط فروشنده DLP با تلاش قابل توجهی (هزینه بیشتر) ایجاد شود. به دلیل سست بودن قوانین، این تکنیک بسیار مستعد مثبت کاذب و منفی کاذب است.

  • دسته ها: دسته های از پیش ساخته شده با قوانین و فرهنگ لغت برای انواع رایج داده‌های حساس، مانند شماره کارت اعتباری/حفاظت از PCI ، HIPAA و غیره.

برای چه چیزی بهتر است: هر چیزی که به طور مرتب متناسب با یک دسته ارائه شده باشد. معمولاً توصیف محتوای مربوط به حریم خصوصی، مقررات یا دستورالعمل های خاص صنعت آسان است.

برای چه چیزی بهتر است: هر چیزی که به طور مرتب متناسب با یک دسته ارائه شده باشد. معمولاً توصیف محتوای مربوط به حریم خصوصی، مقررات یا دستورالعمل های خاص صنعت آسان است.

نقاط قوت: پیکربندی بسیار ساده است. صرفه جویی قابل توجهی در زمان ایجاد خط مشی های طبقه بندی می توانند پایه و اساس سیاست های پیشرفته تر و خاص سازمانی باشند. برای بسیاری از سازمانها، دسته ها می توانند درصد زیادی از نیازهای حفاظت از داده های خود را برآورده کنند.

نقاط ضعف: یک اندازه مناسب همه ممکن است کار نکند. فقط برای قوانین و محتوا به راحتی طبقه بندی می شود.

این ۷ تکنیک پایه و اساس اکثر محصولات DLP موجود در بازار است. همه محصولات شامل همه تکنیک ها نیستند و می تواند تفاوت های قابل توجهی بین پیاده سازی ها وجود داشته باشد. اکثر محصولات همچنین می توانند تکنیک های زنجیره ای داشته باشند- ایجاد سیاست های پیچیده از ترکیب محتوا و تکنیک های تجزیه و تحلیل زمینه ای.

معماری فنی

حفاظت از داده های در حال حرکت، در حالت ایستا و هنگام انتقال

هدف DLP محافظت از محتوا در طول چرخه عمر آن است. از نظر DLP، این شامل سه جنبه اصلی است:

  • Data At Rest شامل اسکن فضای ذخیره سازی و سایر مخازن محتوا برای شناسایی مکان محتوای حساس است. ما این را کشف محتوا می نامیم. به عنوان مثال، می توانید از یک محصول DLP برای اسکن سرورهای خود و شناسایی اسناد با شماره کارت اعتباری استفاده کنید. اگر سرور مجوز این نوع داده ها را ندارد، فایل می تواند رمزگذاری یا حذف گردد، یا هشدار به صاحب فایل ارسال شود.
  • Data In Motion ترافیک شبکه (بصورت غیرفعال یا درون خطی از طریق پراکسی) را تشخیص می دهد تا محتوای ارسال شده در کانالهای ارتباطی خاص را شناسایی کند. به عنوان مثال، این شامل ایمیل ها، پیام های فوری و ترافیک وب برای قطعات کد منبع حساس است. بسته به نوع ترافیک، ابزارهای در حال حرکت اغلب می توانند بر اساس خط مشی های مرکزی مسدود شوند.
  • داده های در حال انتقال معمولاً توسط راه حل های نقطه پایانی که داده ها را هنگام تعامل کاربر با آنها نظارت می کند، آدرس دهی می شوند. به عنوان مثال، آنها می توانند هنگام تلاش برای انتقال سند حساس به درایو USB و مسدود کردن آن (برخلاف مسدود کردن استفاده از درایو USB به طور کامل)، شناسایی کنند. داده های موجود در ابزارهای کاربردی همچنین می توانند مواردی مانند کپی و پیست کردن یا استفاده از داده های حساس در یک برنامه تأیید نشده را تشخیص دهند (مانند کسی که سعی می کند داده ها را رمزگذاری کند تا به سرعت از سنسورها عبور کند).

داده های در حال حرکت

بسیاری از سازمانها ابتدا با محصولات مبتنی بر شبکه که حفاظت وسیعی از سیستم های مدیریت شده و بدون مدیریت را ارائه می دهند، وارد دنیای DLP می شوند. به طور معمول شروع به کار با محصولات شبکه آسان تر است تا به سرعت پوشش گسترده ای را به دست آورید. محصولات اولیه به نظارت و هشدار اولیه محدود می شدند، اما همه محصولات فعلی شامل قابلیت های پیشرفته برای ادغام با زیرساخت های شبکه موجود و ارائه کنترل های محافظتی و نه فقط کارآگاهی هستند.

مانیتور شبکه

در قلب اکثر راه حل های DLP یک مانیتور شبکه منفعل نهفته است. مولفه ی نظارت شبکه معمولاً در یا نزدیک دروازه بر روی یک درگاه SPAN ) یا مشابه آن ) مستقر می شود. این برنامه ضبط کامل بسته، بازسازی جلسه و تجزیه و تحلیل محتوا را بلادرنگ انجام می دهد. عملکرد پیچیده تر و ظریف تر از چیزی است که فروشندگان معمولاً در مورد آن صحبت می‌کنند. اول، در مورد انتظارات مشتری، اکثر مشتریان ادعا می کنند که به عملکرد اترنت گیگابیتی کامل نیاز دارند، اما این سطح عملکرد غیر ضروری است، مگر در شرایط بسیار غیرعادی، زیرا تعداد کمی از سازمان‌ها واقعاً از سطح بالایی از ترافیک ارتباطات برخوردارند.

 

DLP ابزاری برای نظارت بر ارتباطات کارکنان است، نه ترافیک برنامه های وب. در واقع ما دریافتیم که شرکت‌های کوچک معمولاً زیر ۵۰ مگابایت بر ثانیه از ترافیک مربوطه، شرکت‌های متوسط ​​نزدیک به ۵۰-۲۰۰ مگابایت بر ثانیه و شرکت‌های بزرگ حدود ۳۰۰ مگابایت بر ثانیه را اجرا می کنند. (شاید در موارد کمی به ۵۰۰ برسد). به دلیل سربار تجزیه و تحلیل محتوا، هر محصول ضبط کامل بسته را اجرا نمی کند. ممکن است مجبور باشید بین پیش فیلتر کردن (و در نتیجه عدم وجود ترافیک غیر استاندارد) یا خرید بسته‌های بیشتر و تعادل بار یکی را انتخاب کنید.

 

 

 همچنین برخی محصولات به جای استفاده از سرویس/شناسه کانال بر اساس محتوای بسته، نظارت را در ترکیب پورت و پروتکل از پیش تعریف شده قفل می کنند. حتی اگر شناسه کامل کانال برنامه گنجانده شود، می خواهید از فعال بودن آن مطمئن شوید. در غیر این صورت، ممکن است ارتباطات غیر استاندارد مانند اتصال از طریق یک پورت غیر معمول را از دست بدهید. اکثر مانیتورهای شبکه سخت افزاری برای سرورهای عمومی با نرم افزار DLP نصب شده است. در حالی که برخی از محصولات مدیریت، گردش کار و گزارش خود را در مانیتور شبکه تعبیه کرده اند، این غالباً در سرور یا دستگاه جداگانه بارگیری می شود.

 

 

ادغام ایمیل

مولفه ی اصلی بعدی ادغام ایمیل است. از آنجا که ایمیل در حال ذخیره و ارسال است، می‌توانید قابلیت های زیادی از جمله قرنطینه، یکپارچه سازی، رمزگذاری و فیلتر را بدون موانع یکسان برای جلوگیری از مسدود کردن ترافیک همزمان به دست آورید. اکثر محصولات یک MTA (عامل حمل و نقل ایمیل) را در محصول جاسازی کرده و به شما این امکان را می دهند که آن را به عنوان یک پرش دیگر در زنجیره ایمیل اضافه کنید. تعداد کمی از آنها همچنین با برخی از اصلی ترین راه حل های امنیتی MTA ایمیل موجود برای عملکرد بهتر ادغام می شوند.

یکی از نقاط ضعف این روش این است که به شما امکان دسترسی به ایمیل داخلی را نمی‌دهد. اگر از سرور Exchange استفاده می کنید، پیام های داخلی هرگز از طریق MTA خارجی عبور نمی کنند زیرا دلیلی برای ارسال این ترافیک وجود ندارد. برای نظارت بر نامه داخلی به یکپارچه سازی مستقیم Exchange/Lotus نیاز دارید، که به طرز شگفت آوری در بازار نادر است. ادغام کامل با اسکن گزارشات/کتابخانه ها پس از آن متفاوت است، چیزی که برخی از شرکت ها آن را پشتیبانی پست داخلی می نامند. اگر بخواهید فیلترینگ انجام دهید، در مقابل فقط نظارت، یکپارچه سازی ایمیل خوب بسیار مهم است.

فیلتر کردن/مسدود کردن و ادغام پروکسی

تقریباً هر کسی که از راه حل DLP استفاده کند، در نهایت می خواهد مسدود کردن ترافیک را شروع کند. فقط تا مدت زمان زیادی می توانید قبل از شروع اقدامی به تماشای تمام داده‌های حساس خود در مناطق دیگر اینترنت بپردازید. اما مسدود کردن آسان ترین کار در جهان نیست، به ویژه اینکه ما سعی می کنیم ترافیک خوب را مجاز کنیم، فقط ترافیک بد را مسدود کرده و با استفاده از تجزیه و تحلیل محتوای زمان واقعی تصمیم بگیریم. فیلتر کردن ایمیل، همانطور که اشاره کردیم، بسیار ساده است. این زمان کاملاً واقعی نیست و به دلیل ماهیت آن نمایان است. افزودن یک قدم تجزیه و تحلیل دیگر حتی در پیچیده ترین محیط ها یک مشکل قابل مدیریت است. خارج از ایمیل اکثر ترافیک ارتباطات ما همزمان است – همه چیز در زمان واقعی اجرا می شود. بنابراین اگر می خواهیم آن را فیلتر کنیم، یا باید ترافیک را bridge  کنیم، آن را پراکسی کنیم، یا آن را از بیرون شنود کنیم.

Bridge

با پل ما فقط یک سیستم با دو کارت شبکه داریم که در وسط تجزیه و تحلیل محتوا را انجام می دهد. اگر چیزی مخرب ببینیم، پل ارتباط آن جلسه را قطع می کند. پل زدن بهترین روش برای DLP نیست زیرا ممکن است قبل از نشت کردن، تمام ترافیک بد را متوقف نکند. مثل این است که در درب خانه ای بنشینید و همه چیز را با ذره بین تماشا کنید. زمانی که ترافیک کافی برای تصمیم گیری هوشمندانه در اختیار شما قرار می گیرد، ممکن است موارد واقعاً خوب را از دست داده باشید. تعداد کمی از محصولات از این رویکرد استفاده می کنند، اگرچه این مزیت را دارد که پروتکل آگنوستیک است.

پروکسی

به عبارت ساده تر، یک پروکسی پروتکل/برنامه خاص است و قبل از انتقال ترافیک را در صف قرار می دهد و تجزیه و تحلیل عمیق تری را امکان پذیر می کند. ما پروکسی های دروازه را بیشتر برای پروتکل های HTTP ، FTP و IM مشاهده می کنیم. چند راه حل DLP شامل پروکسی های خودشان است. آنها تمایل دارند با فروشندگان دروازه/پروکسی موجود ادغام شوند زیرا اکثر مشتریان ترجیح می دهند با این ابزارهای موجود ادغام شوند. ادغام برای دروازه های وب معمولاً از طریق پروتکل iCAP انجام می شود و به پروکسی اجازه می دهد ترافیک را بگیرد، آن را برای تجزیه و تحلیل به محصول DLP ارسال کند و در صورت نقض، ارتباطات را قطع کند. این بدان معناست که شما مجبور نیستید سخت افزار دیگری را در مقابل ترافیک شبکه خود اضافه کنید و فروشندگان DLP می توانند از مشکلات ساخت سخت افزار اختصاصی شبکه برای تجزیه و تحلیل داخلی جلوگیری کنند. اگر دروازه شامل یک پروکسی SSL معکوس است، می توانید اتصالات SSL را نیز تشخیص دهید. برای مقابله با همه هشدارهای گواهینامه، باید نقاط پایانی خود را تغییر دهید، اما اکنون می توانید به ترافیک رمزگذاری شده نگاه کنید. برای پیام رسانی فوری به یک پروکسی IM و یک محصول DLP نیاز دارید که به طور خاص از هر پروتکل IM که استفاده می کنید پشتیبانی کند.

TCP Poisoning

آخرین روش فیلترینگ، شنود TCP است. شما بر ترافیک نظارت می کنید و وقتی چیزی بد می بینید، یک بسته بازنشانی TCP را تزریق می کنید تا اتصال قطع شود. این روی هر پروتکل TCP کار می کند اما بسیار کارآمد نیست. به عنوان یک نکته، برخی از پروتکل ها تلاش می کنند ترافیک را از بین ببرند. اگر TCP یک پیام ایمیل را تزریق کنید، سرور به مدت ۳ روز و هر ۱۵ دقیقه یکبار به ارسال پیام خود ادامه می دهد. مشکل دیگر همان پل زدن است – از آنجا که شما به هیچ وجه در صف ترافیک قرار نمی گیرید، وقتی متوجه چیز بدی شوید، ممکن است دیر شده باشد. این یک توقف خوب برای پوشش پروتکل های غیر استاندارد است، اما شما می خواهید تا آنجا که ممکن است پروکسی کنید.

شبکه های داخلی

اگرچه از نظر فنی قادر به نظارت بر شبکه های داخلی است، DLP به ندرت در ترافیک داخلی غیر از ایمیل استفاده می شود. دروازه ها نقاط تنگنای مناسب را ارائه می دهند. نظارت داخلی یک چشم انداز دلهره آور از نظر هزینه، عملکرد و مدیریت سیاست/دیدگاه مثبت کاذب است. برخی از فروشندگان DLP برای نظارت داخلی مشارکت دارند، اما این ویژگی اولویت پایین تری برای اکثر سازمان ها است.

استقرار توزیع شده و سلسله مراتبی

همه شرکت‌های متوسط تا بزرگ و بسیاری از سازمان‌های کوچکتر دارای مکان‌های متعدد و دروازه وب هستند. یک راه حل DLP باید از نقاط نظارتی متعددی از جمله ترکیبی از نظارت شبکه غیرفعال، نقاط پروکسی، سرورهای ایمیل و مکان های از راه دور پشتیبانی کند در حالی که پردازش/تجزیه و تحلیل می تواند به نقاط اجرایی از راه دور بارگذاری شود، آنها باید همه رویدادها را برای گردش کار، گزارش، تحقیقات و بایگانی به سرور مدیریت مرکزی ارسال کنند. معمولاً پشتیبانی از دفاتر از راه دور آسان است زیرا می توانید سیاست ها را پایین بیاورید و گزارش دهید، اما همه محصولات این قابلیت را ندارند.

محصولات پیشرفته تر از استقرار سلسله مراتبی برای سازمان هایی که می خواهند DLP را در مکان های مختلف جغرافیایی یا بر اساس واحد تجاری متفاوت مدیریت کنند، پشتیبانی می کنند. شرکت‌های بین المللی اغلب برای برآوردن الزامات نظارت قانونی که برحسب کشور متفاوت است، به این امر نیاز دارند. مدیریت سلسله مراتبی از سیاست های محلی هماهنگ و اجرا در مناطق مختلف پشتیبانی می کند و بر روی سرورهای مدیریتی خود کار می کند و مجدداً با سرور مدیریت مرکزی ارتباط برقرار می کند. محصولات اولیه فقط از یک سرور مدیریت پشتیبانی می کردند اما اکنون ما گزینه هایی برای برخورد با این موقعیت های توزیع شده با ترکیبی از سیاست های شرکت، منطقه/واحد کسب و کار، گزارش و گردش کار داریم.

داده ها در حالت ایستا

در حالی که پیشگیری از نشت در شبکه نسبتاً کار قدرتمندی است، این تنها یک بخش کوچک از مشکل است. بسیاری از مشتریان متوجه شده اند که کشف و بررسی همه این داده ها در وهله اول، ارزشمندتر است. ما این را کشف محتوا می نامیم. ابزارهای جستجوی سازمانی ممکن است بتوانند در این مورد کمک کنند، اما واقعاً برای این مشکل خاص به خوبی تنظیم نشده اند. ابزارهای طبقه بندی داده های سازمانی نیز می توانند کمک کننده باشند، اما به نظر می رسد بر اساس بحث و گفتگو با تعدادی از مشتریان، آنها برای یافتن تخلفات خاص از سیاست ها به خوبی کار نمی کنند. بنابراین ما بسیاری از مشتریان را می بینیم که از ویژگی های کشف محتویات محصولات DLP خود استفاده می کنند.

بزرگترین مزیت کشف محتوا در یک ابزار DLP این است که به شما امکان می دهد یک خط مشی واحد اتخاذ کرده و آن را در داده ها صرف نظر از جایی که ذخیره می شود، نحوه اشتراک گذاری و نحوه استفاده از آن اعمال کنید. به عنوان مثال، می توانید خط مشی ای را تعریف کنید که بر اساس آن شماره کارت اعتباری فقط هنگام رمزگذاری ارسال شود، هرگز از طریق HTTP یا HTTPS به اشتراک گذاشته نشود، فقط در سرورهای تأیید شده ذخیره شود و فقط توسط کارکنان تیم مدیریتی در ایستگاه های کاری/لپ تاپ ذخیره شود. همه این موارد را می توان در یک خط مشی واحد در سرور مدیریت DLP مشخص کرد.

کشف محتوا شامل سه جزء است:

  • : Endpoint Discovery اسکن ایستگاه های کاری و لپ تاپ ها برای محتوا.
  • : Storage Discovery اسکن ذخیره سازهای انبوه، شامل سرورهای فایل، SAN و
  • Server Discovery: اسکن داده های ذخیره شده در سرورهای ایمیل، سیستم های مدیریت اسناد و پایگاه های داده مخصوص برنامه (در حال حاضر ویژگی اکثر محصولات DLP نیست، اما در برخی از محصولات نظارت بر فعالیت پایگاه داده ظاهر می شود مانند Safetica و Zecurion).

 

تکنیک های کشف محتوا

سه روش اساسی برای کشف محتوا وجود دارد:

  • اسکن از راه دور: اتصال به سرور یا دستگاه با استفاده از پروتکل اشتراک فایل یا برنامه، و اسکن از راه دور انجام می شود. این در اصل نصب یک درایو از راه دور و اسکن آن از سروری است که خط مشی ها را از سرور خط مشی مرکزی دریافت می‌کند و نتایج را برای آن ارسال می کند. برای برخی از فروشندگان این یک وسیله است، برای برخی دیگر یک سرور است و برای استقرارهای کوچکتر با سرور مدیریت مرکزی ادغام می شود.
  • اسکن مبتنی بر عامل (Agent): یک عامل روی سیستم (سرور یا کلاینت) نصب شده است تا اسکن شود و اسکن به صورت محلی انجام می شود. عاملان مخصوص پلتفرم هستند و از چرخه های CPU محلی استفاده می کنند، اما به طور بالقوه می توانند سریعتر از اسکن از راه دور، به ویژه برای مخازن بزرگ، عمل کنند. برای نقاط پایانی، این باید یک ویژگی از همان عاملی باشد که برای اعمال کنترل های Data In Use استفاده می شود.
  • Memory-Resident Agent Scanning : به جای استقرار یک نماینده تمام وقت، یک عامل ساکن حافظه نصب می شود، اسکن را انجام می دهد، سپس بدون رها کردن چیزی در حال اجرا یا ذخیره روی سیستم محلی خارج می شود. این عملکرد اسکن مبتنی بر عامل را در شرایطی که نمی خواهید یک عامل دائماً در حال اجرا باشد ارائه می دهد.

هر یک از این فناوری ها می توانند برای هر یک از حالت ها کار کنند و شرکت ها معمولاً بسته به الزامات خط مشی و زیرساخت ها ترکیبی را به کار می گیرند. ما در حال حاضر محدودیت های فناوری را با هر رویکردی مشاهده می کنیم که استقرار را راهنمایی می‌کند:

  • اسکن از راه دور می تواند ترافیک شبکه را به میزان قابل توجهی افزایش دهد و محدودیت های عملکردی بر اساس پهنای باند شبکه و عملکرد شبکه هدف و اسکنر دارد. برخی از راه حل ها فقط می توانند گیگابایت ها در روز را مصرف کنند (گاهی صدها، اما نه ترابایت در روز)، بر اساس این محدودیت های عملی، که ممکن است برای ذخیره سازی بسیار ناکافی باشد، در هر سرور اسکن کنند.
  • عوامل، موقتی یا دائمی، با قدرت پردازش و حافظه در سیستم هدف محدود می‌شوند، که اغلب به محدودیت در تعداد سیاست های قابل اجرا و انواع تجزیه و تحلیل محتوا که می تواند استفاده شود، محدود می شود. به عنوان مثال، اکثر عوامل نقطه پایانی قادر به تطبیق جزئی سند یا اثر انگشت پایگاه داده در برابر مجموعه داده های بزرگ نیستند. این امر به ویژه در مورد عوامل نقطه پایانی که محدودتر هستند صادق است.
  • عامل ها از همه سیستم عامل ها پشتیبانی نمی کنند.

اجرای اطلاعات در زمان استراحت (ایستا)

هنگامی که نقض خط مشی کشف شد، ابزار DLP می تواند اقدامات مختلفی را انجام دهد:

  • هشدار/گزارش: درست مانند نقض شبکه، یک حادثه در سرور مدیریت مرکزی ایجاد کنید.
  • هشدار: از طریق ایمیل به کاربر اطلاع دهید که ممکن است خط مشی را نقض کنند.
  • قرنطینه/اطلاع: فایل را به سرور مدیریت مرکزی منتقل کنید و یک فایل متنی با دستورالعمل های نحوه درخواست بازیابی فایل بگذارید.
  • قرنطینه/رمزگذاری: فایل را در محل خود رمزگذاری کنید، معمولاً یک فایل متنی ساده که نحوه درخواست رمزگشایی را توضیح می دهد، باقی بگذارید.
  • قرنطینه/کنترل دسترسی: برای محدود کردن دسترسی به فایل، کنترل های دسترسی را تغییر دهید.
  • حذف/حذف: یا فایل را بدون اطلاع به سرور مرکزی منتقل کنید، یا فقط آن را حذف کنید.

ترکیبی از معماری های مختلف استقرار، تکنیک های کشف و گزینه های اجرایی، ترکیبی قدرتمند برای حفاظت از داده ها در زمان استراحت و حمایت از ابتکارات انطباق ایجاد می کند. به عنوان مثال، ما در حال افزایش استفاده از CMF برای پشتیبانی از تطابق PCI هستیم – بیشتر برای توانایی اطمینان (و گزارش) که هیچ اطلاعات دارنده کارت در نقض PCI ذخیره نمی شود تا محافظت از ایمیل یا ترافیک وب را در بر می گیرد.

داده های در حال انتقال

DLP معمولاً در لبه شبکه نصب می شود زیرا این مقرون به صرفه ترین راه برای به دست آوردن گسترده ترین پوشش است. نظارت بر شبکه غیر مزاحم است (مگر اینکه مجبور باشید SSL را کرک کنید) و برای هر سیستمی در شبکه، تحت مدیریت یا بدون مدیریت، سرور یا ایستگاه کاری قابل مشاهده است. فیلتر کردن مشکل تر است، اما باز هم نسبتاً ساده در شبکه (مخصوصاً برای ایمیل) و همه سیستم های متصل به شبکه را پوشش می دهد. اما واضح است که این یک راه حل کامل نیست. هنگامی که شخصی با لپ تاپ از در خارج می شود، از داده ها محافظت نمی کند و حتی نمی تواند مانع از کپی اطلاعات افراد در حافظه قابل حمل مانند درایوهای USB شود. برای حرکت از یک راه حل “جلوگیری از نشت” به یک راه حل “حفاظت از محتوا” ، محصولات باید نه تنها به داده های ذخیره شده، بلکه به نقاط پایانی که از داده ها استفاده می شود، گسترش یابند.

توجه: اگرچه پیشرفت های زیادی در DLP نقطه پایانی انجام شده است، اما راه حل های تنها برای نقطه پایانی برای اکثر کاربران توصیه نمی شود. همانطور که ما بحث خواهیم کرد، آنها به طور معمول نیاز به مصالحه در مورد تعداد و انواع سیاست هایی دارند که می توانند اعمال شوند، یکپارچه سازی ایمیل محدود را ارائه می دهند و هیچ محافظتی برای سیستم های بدون مدیریت ارائه نمی دهند. در دراز مدت، شما هم به قابلیت های شبکه و هم به نقاط پایانی احتیاج دارید، و اکثر راه حل های پیشرو در شبکه در حال افزودن یا ارائه حداقل حفاظت از نقطه پایانی هستند.

افزودن یک عامل نقطه پایانی به یک راه حل DLP نه تنها به شما این امکان را می دهد که محتوای ذخیره شده را کشف کنید، بلکه به طور بالقوه از سیستم هایی که دیگر در شبکه نیستند و حتی از داده ها به عنوان فعال استفاده می کنند محافظت می کند. در حالی که بسیار قدرتمند است، اما اجرای آن مشکل ساز است. نمایندگان باید در محدودیت منابع یک لپ تاپ استاندارد و در عین حفظ آگاهی از محتوا عمل کنند. اگر سیاست های بزرگی مانند “محافظت از همه ۱۰ میلیون شماره کارت اعتباری از پایگاه داده ما” داشته باشید، در مقابل آنچه ساده تر است، “محافظت از هر شماره کارت اعتباری” که هر بار که کارمندی از آمازون بازدید می کند، نتایج کاذب ایجاد می کند، دشوار است.

قابلیت های کلیدی

محصولات موجود از نظر عملکردی بسیار متفاوت هستند، اما ما می توانیم سه قابلیت کلیدی را مشخص کنیم:

  • نظارت و اجرا در پشته شبکه: اجازه می دهد قوانین شبکه بدون ابزار شبکه اجرا شوند. محصول باید بتواند همان قوانین را اجرا کند که گویی سیستم در شبکه مدیریت شده است بخوبی قوانین جداگانه ای که فقط برای استفاده در شبکه های بدون مدیریت طراحی شده اند.
  • نظارت و اجرا در هسته سیستم: با اتصال مستقیم به هسته سیستم عامل، می توانید فعالیت‌های کاربر مانند کپی و جایگذاری محتوای حساس را زیر نظر داشته باشید. این امر همچنین می تواند به محصولات اجازه دهد (زمانی که کاربر محتوای حساس را می‌گیرد و سعی می کند آن را از تشخیص پنهان کند، شاید با رمزگذاری یا اصلاح اسناد منبع، نقض خط مشی را تشخیص دهد (و مسدود کند).
  • نظارت و اجرای درون فایل سیستم: این امر امکان نظارت و اجرا را بر اساس محل ذخیره داده ها فراهم می کند. به عنوان مثال، می توانید کشف محلی را انجام دهید و/یا انتقال محتوای حساس را به دستگاه‌های USB رمزنگاری شده محدود کنید.

این گزینه ها ساده شده اند و اکثر محصولات اولیه روی ۱ و ۳ تمرکز می کنند تا مشکل ذخیره سازی قابل حمل را حل کرده و از دستگاه ها در شبکه های بدون مدیریت محافظت کنند. ادغام سیستم/هسته بسیار پیچیده تر است و روش‌های مختلفی برای به دست آوردن این قابلیت وجود دارد.

موارد استفاده

Endpoint DLP در حال تکامل است تا از چند مورد استفاده مهم استفاده کند:

  • اجرای قوانین شبکه برای شبکه مدیریت شده، یا اصلاح قوانین برای شبکه های متخاصم تر.
  • محدود کردن محتوای حساس از حافظه قابل حمل، از جمله درایوهای USB، درایوهای CD/DVD، حافظه های خانگی و دستگاه هایی مانند تلفن های هوشمند و PDA
  • محدود کردن کپی و پیست محتوای حساس.
  • محدود کردن برنامه های کاربردی مجاز به استفاده از محتوای حساس – به عنوان مثال، فقط اجازه رمزگذاری با راه حل تأیید شده سازمانی را می دهد، نه ابزارهایی که به صورت آنلاین بارگیری می شوند و اجازه بازیابی اطلاعات سازمانی را نمی دهند.
  • ادغام با (قوانین مدیریت سازمانی)Enterprise Management Rights  برای اعمال خودکار کنترل دسترسی به اسناد بر اساس محتوای موجود.
  • حسابرسی استفاده از محتوای حساس برای گزارش انطباق.

قابلیت های اضافی نقطه پایانی     

هنگام استقرار DLP در نقطه پایانی، ویژگی های زیر بسیار مطلوب هستند:

  • عوامل و قوانین نقطه پایانی باید به طور مرکزی توسط همان سرور مدیریت DLP که داده ها را در حال حرکت و داده ها را در حالت استراحت (شبکه و کشف) کنترل می‌کند، مدیریت شود.
  • ایجاد و مدیریت خط مشی باید به طور کامل با سایر سیاست های DLP در یک رابط واحد ادغام شود.
  • حوادث باید به یک سرور مدیریت مرکزی گزارش و مدیریت شود.
  • عامل نقطه پایانی باید از تکنیک ها و قوانین تجزیه و تحلیل محتوا مانند سرورها/لوازم استفاده کند.
  • قوانین (خط مشی ها) باید بر اساس محل قرارگیری نقطه پایانی (در یا خارج از شبکه) تنظیم شوند. وقتی نقطه پایانی در یک شبکه مدیریت شده با DLP دروازه قرار دارد، برای بهبود عملکرد باید از قوانین محلی اضافی صرف نظر کرد.
  • استقرار عامل باید با ابزارهای استقرار نرم افزار سازمانی موجود ادغام شود.
  • به روزرسانی خط مشی باید گزینه هایی برای مدیریت ایمن از طریق سرور مدیریت DLP یا ابزارهای به روزرسانی نرم افزار موجود ارائه دهد.

محدودیت های نقطه پایانی          

در واقع، محدودیت های عملکرد و ذخیره سازی نقطه پایانی، انواع تجزیه و تحلیل محتویات پشتیبانی شده و تعداد و نوع سیاست هایی را که به صورت محلی اجرا می شوند محدود می‌کند. بسته به نوع سیاست هایی که باید اجرا شود، برای برخی از شرکت ها ممکن است این امر اهمیتی نداشته باشد، اما در بسیاری از موارد نقاط پایانی محدودیت های قابل توجهی را بر روی خط مشی های استفاده از داده ها اعمال می کنند.

مدیریت مرکزی، مدیریت سیاست و گردش کار

همانطور که در طول این گزارش بحث کردیم، همه راه حل های DLP فعلی شامل یک سرور مدیریت مرکزی برای اداره نقاط اجرا و تشخیص، ایجاد و مدیریت خط مشی ها، گردش کار حوادث و گزارش است. این ویژگی‌ها غالباً در فرآیند انتخاب موثرترین هستند. تفاوت های زیادی بین محصولات مختلف موجود در بازار وجود دارد. به جای تلاش برای پوشش همه ویژگی های ممکن، ما بر روی خطوط اصلی عملکردها (توابع) که مهمترین آنها هستند تمرکز می کنیم.

رابط کاربری

برخلاف سایر ابزارهای امنیتی، ابزارهای DLP اغلب توسط کارکنان غیر فنی اعم از منابع انسانی، مدیریت اجرایی، مدیران حقوقی و تجاری شرکت‌ها مورد استفاده قرار می گیرد. بنابراین، رابط کاربری باید ترکیب این پرسنل فنی و غیر فنی را در نظر بگیرد و باید به راحتی قابل تنظیم باشد تا نیازهای هر گروه کاربری خاص را برآورده کند. با توجه به پیچیدگی و حجم اطلاعاتی که یک راه حل DLP ممکن است با آن برخورد کند، رابط کاربری می تواند یک محصول DLP را ایجاد یا خراب کند.

به عنوان مثال، به سادگی برجسته کردن بخش هایی از ایمیل در نقض خط مشی هنگام نمایش حادثه می تواند دقایقی از زمان رسیدگی را حذف کرده و از سوء تحلیل ها جلوگیری کند. رابط کاربری DLP باید شامل عناصر زیر باشد:

  • داشبورد: یک داشبورد خوب دارای عناصر قابل انتخاب توسط کاربر و پیش فرض برای کاربران فنی و غیر فنی است. عناصر جداگانه ممکن است فقط در دسترس کاربران یا گروههای مجاز باشد، معمولاً گروه‌هایی که در فهرست‌های سازمانی ذخیره می شوند. داشبورد باید بر اطلاعات ارزشمند آن کاربر تمرکز کند و فقط یک نمای کلی در کل سیستم نباشد. عناصر واضح شامل تعداد و توزیع تخلفات بر اساس شدت و کانال و سایر اطلاعات سطح بالا است تا خطرات کلی برای شرکت را کاهش دهد.
  • صف مدیریت رویداد: صف مدیریت رویداد مهمترین جزء رابط کاربر است. این صفحه‌ای است که کنترل کنندگان حوادث روی صفحه برای نظارت و مدیریت نقض خط مشی استفاده می کنند. صف باید مختصر، قابل تنظیم و خواندن آن در یک نگاه آسان باشد. با توجه به اهمیت این ویژگی، عملکردهای توصیه شده را بعداً در این گزارش شرح می‌دهیم.
  • نمایش یک حادثه واحد: هنگامی که یک کنترل کننده در یک حادثه جستجو می کند، صفحه نمایش باید به طور واضح و مختصر دلیل نقض، کاربر درگیر، بحرانی بودن، شدت، (حساسیت بر اساس خط مشی نقض شده، شدت بر اساس میزان داده ها) درگیر است، حوادث مرتبط و سایر اطلاعات مورد نیاز برای تصمیم گیری هوشمندانه در مورد وضعیت حادثه را بیان کند.
  • مدیریت سیستم: وضعیت استاندارد سیستم و رابط مدیریت، شامل مدیریت کاربر و گروه
  • مدیریت سلسله مراتبی: وضعیت و مدیریت اجزای راه دور DLP، مانند نقاط اجرایی، دفاتر راه دور و نقاط پایانی، از جمله مقایسه اینکه کدام قوانین در کجا فعال هستند.
  • گزارش گیری: ترکیبی از گزارش ها و ابزارهای از پیش ساخته شده قابل تنظیم برای تسهیل گزارش های موقت
  • ایجاد و مدیریت خط مشی: پس از صف وقوع حادثه، این مهمترین عنصر سرور مدیریت مرکزی است. این شامل ایجاد و مدیریت سیاست ها می شود. از آنجا که بسیار مهم است، بعداً با جزئیات بیشتری به آن می پردازیم.

رابط DLP باید تمیز و جهت یابی آن آسان باشد. این ممکن است اساسی به نظر برسد، اما همه ما با ابزارهای امنیتی ضعیف که بر مهارت های فنی مدیر متکی هستند، آشنا هستیم. از آنجا که DLP خارج از امنیت، احتمالاً حتی خارج از فناوری اطلاعات استفاده می شود، رابط کاربری باید برای طیف وسیعی از کاربران کار کند.

مدیریت سلسله مراتبی، ادغام فهرست و مدیریت مبتنی بر نقش

مدیریت سلسله مراتبی

سیاست های DLP و اجرای آن اغلب باید متناسب با نیازهای واحدهای تجاری فردی یا مکان های جغرافیایی باشد. مدیریت سلسله مراتبی به شما امکان می دهد چندین سرور خط مشی(سیاست) در سراسر سازمان با سلسله مراتب مدیریت و خط مشی ها ایجاد کنید. به عنوان مثال، یک منطقه جغرافیایی ممکن است سرور خط مشی (سیاست)  خود را به سرور خط مشی (سیاست) مرکزی برده باشد. آن منطقه می تواند سیاست‌های خاص خود را ایجاد کند، با اجازه سیاست‌های اصلی را اجرا کرده و حوادث محلی را مدیریت کند. تخلفات در سرور مرکزی تجمیع می شوند در حالی که سیاست های خاصی همیشه به صورت مرکزی اعمال می شوند. ابزار DLP از ایجاد سیاست های کلی و محلی پشتیبانی می کند، سیاست هایی را برای اجرای محلی یا کلی تعیین می کند، و گردش کار و گزارش دهی را در مکان های مختلف مدیریت می کند.

ادغام دایرکتوری

راه حل های DLP همچنین با دایرکتوری های سازمانی معمولاً (Microsoft Active Directory) ادغام می شوند، بنابراین نقض ها می توانند با کاربران مرتبط شوند، نه آدرس های IP . این امر پیچیده است زیرا آنها باید با ترکیبی از کارکنان مدیریت شده و بدون مدیریت (مهمان/موقت) بدون آدرس تعیین شده برخورد کنند. ادغام باید اجازه DHCP را بر اساس ورود کاربران به شبکه پیوند دهد و به روز شود تا از نقض خط مشی به طور اشتباه به کاربر مجاز جلوگیری کند. به عنوان مثال ، یک نسخه اولیه از یک محصول فعلی ، یک کاربر را به آدرس IP مرتبط می کند تا زمانی که آدرس به کاربر دیگری واگذار شود. یک مرجع کارمندی را اخراج کرد زیرا پیمانکار (نه در  ( Active Directory نفر بعدی بود که از آن IP استفاده کرد و مرتکب نقض خط مشی شد. این ابزار نقض را به کارمند مجاز مرتبط می کند. ادغام دایرکتوری همچنین مدیریت حوادث را با حذف نیاز به مراجعه به منابع داده خارجی برای هویت کاربر و ساختار سازمان، ساده می کند. بنابراین در کنار DLP باید از استانداردهای مدیریت امنیت استفاده شود مانند ISMS.

مدیریت مبتنی بر نقش

این سیستم همچنین باید به مدیریت داخلی بر اساس وظایف اداری داخلی و نظارت و اجرا اجازه دهد. از نظر داخلی، کاربران می توانند برای تفکیک وظایف به گروه های اداری و سیاستی اختصاص داده شوند. به عنوان مثال، ممکن است شخصی به عنوان وظیفه اعمال هرگونه خط مشی اختصاص داده شده به گروه مدیریتی، بدون دسترسی به مدیریت سیستم، ایجاد خط مشی‌ها، مشاهده تخلفات برای هر گروه دیگر، یا تغییر خط مشی ها را به عهده گیرد. از آنجا که ممکن است دایرکتوری فعال شما دسته های کاربر مورد نیاز برای نظارت و اجرا را منعکس نکند، سیستم DLP باید پشتیبانی انعطاف پذیر را برای نظارت و اجرا بر اساس گروه ها و نقش های خاص محصول DLP ارائه دهد.

تدوین و مدیریت سیاست

ایجاد و مدیریت خط مشی یک عملکرد مهم در قلب DLP است. همچنین (به طور بالقوه) سخت ترین بخش مدیریت DLP است. رابط ایجاد خط مشی باید برای کاربران فنی و غیر فنی قابل دسترسی باشد، اگرچه ایجاد خط مشی های بسیار سفارشی تقریباً همیشه به مهارت های فنی نیاز دارد.

برای ایجاد خط مشی، سیستم باید به شما اجازه دهد نوع داده هایی را که باید محافظت کنید، منبع داده ها را در صورت لزوم، مقصدها، کدام کانال ها را برای نظارت و محافظت و چه اقداماتی برای تخلفات انجام دهید، خط مشی را برای چه افرادی اعمال کنید و چه کنترل کننده ها و سرپرستان می توانند به خط مشی و تخلفات دسترسی داشته باشند، را شناسایی کنید. از آنجا که همه سیاست ها یکسان ایجاد نمی شوند، بر اساس حجم تخلفات باید به هر یک آستانه حساسیت و شدت نیز اختصاص داده شود. خط مشی ها باید به عنوان الگوهایی برای خط مشی های جدید قابل استفاده باشند و اگر سیستم شامل دسته بندی ها باشد، خط مشی های مربوط به یک دسته معین نیز باید قابل ویرایش بوده و به عنوان الگوهای خط مشی های سفارشی در دسترس باشند. جادوگران سیاست (Policy wizards) نیز یک ویژگی مفید هستند، مخصوصاً برای سیاست هایی مانند حفاظت از یک سند واحد.

اکثر کاربران رابط های کاربری را ترجیح می دهند که از چیدمان های گرافیکی واضح برای خط مشی ها استفاده می کنند، ترجیحاً با شبکه ای از کانال های خوانا که به راحتی قابل خواندن هستند و در صورت مشاهده تخلفات در آن کانال، آماده هستند. هرچه سیاست پیچیده تر باشد، ایجاد تناقضات داخلی یا اختصاص تصادفی نگرش اشتباه به کانال یا تخلف آسان تر است.

اساساً هر خط مشی به تعدادی تنظیم نیاز دارد و یک ابزار خوب به شما این امکان را می دهد که یک خط مشی در حالت آزمایشی ایجاد کنید که نشان می دهد چگونه واکنش می دهد، که بدون پر کردن صف های سرنشینان حادثه و یا انجام هرگونه اقدام اجرایی است. برخی از ابزارها می توانند پیش نویس سیاست ها را در برابر ترافیک ثبت شده قبلی آزمایش کنند.

خط مشی ها شامل اطلاعات بسیار حساس هستند، بنابراین باید در سیستم هش، رمزگذاری یا به نحوی دیگر محافظت شوند. برخی از واحدهای تجاری ممکن است سیاست‌های بسیار حساسی داشته باشند که برای مشاهده یک خط مشی خاص باید بدون مجوز صریح از مدیران سیستم محافظت شود. همه تخلفات سیاست نیز باید محافظت شود.

گردش کار حادثه و مدیریت موردی

گردش کار تصادفی بیشترین استفاده را در سیستم DLP خواهد داشت. این جایی است که تخلفات گزارش می شود، حوادث مدیریت می شود و تحقیقات انجام می شود.

اولین توقف صف رسیدگی به حوادث است، که خلاصه ای از همه حوادث است که یا به آن کنترل کننده اختصاص داده شده است، یا تعیین نشده است اما در حوزه اجرای کنترل کننده است. وضعیت رویداد باید به وضوح با حساسیت کد رنگی (بر اساس خط مشی نقض شده) و شدت (بر اساس حجم تخلف، یا برخی دیگر از عوامل تعریف شده در خط مشی) نشان داده شود. هر حادثه باید در یک خط واحد ظاهر شود و در هر زمینه قابل مرتب سازی یا فیلتر باشد. کانال، خط مشی نقض شده، کاربر، وضعیت حادثه (باز، بسته، اختصاص داده شده، واگذار نشده، تحقق) و کنترل کننده نیز باید نشان داده شود و به راحتی برای موقعیت فوری تغییر یابد. به طور پیش فرض، رویدادهای بسته نباید باعث خرابی رابط کاربری شود – اساساً با آن مانند صندوق ورودی ایمیل رفتار کنید. هر کاربر باید بتواند هر چیزی را متناسب با سبک کار خود سفارشی کند. حوادثی که دارای چندین نقض خط مشی یا چندین نقض یک خط مشی واحد هستند، فقط باید یک بار در صف حادثه ظاهر شوند. ایمیلی با ۱۰ پیوست که نباید ۱۰ مورد مختلف را نشان دهد، مگر اینکه هر پیوست خط مشی متفاوتی را نقض کند.

هنگامی که یک حادثه باز می شود، باید تمام جزئیات حادثه، (مگر اینکه محدودیت دیگری داشته باشد) را مشخص کند که نشان می دهد چه داده هایی در سند یا ترافیک کدام خط مشی را نقض کرده است. یک ویژگی ارزشمند خلاصه ای از سایر تخلفات اخیر آن کاربر و سایر تخلفات مربوط به آن داده ها (که می تواند یک رویداد بزرگتر را نشان دهد) است. این ابزار باید به کنترل کننده اجازه دهد تا نظر دهد، دستیارهای اضافی تعیین کند، به مدیریت اطلاع دهد و هرگونه اسناد پشتیبانی را بارگذاری کند.

ابزارهای پیشرفته تر شامل مدیریت پرونده برای ردیابی دقیق یک حادثه و هرگونه اسناد و مدارک حمایتی، از جمله مهر زمان و هش داده است. این امر در مواردی که اقدامات حقوقی انجام می شود بسیار ارزشمند است و شواهد موجود در سیستم مدیریت پرونده باید به منظور افزایش شایستگی آن برای پذیرش در دادگاه،  مدیریت شود.

مدیریت سیستم، گزارش و سایر ویژگی ها

همانند هر ابزار امنیتی، یک راه حل DLP باید شامل تمام ویژگی های اصلی مدیریت سیستم باشد، از جمله:

  • پشتیبان گیری و بازیابی – هم سیستم کامل و هم پیکربندی سیستم فقط برای مهاجرت های پلتفرم است.
  • واردات/صادرات – برای خط مشی ها و تخلفات. برای پیشگیری از تخلفات بسته شده، باید فضا آزاد شود.
  • توازن بار/خوشه بندی
  • نظارت و تنظیم عملکرد
  • مدیریت پایگاه داده

ابزارها تمایل دارند این عملکردها را بین خود ابزار و پلتفرم اساسی ترکیب کنند. برخی از سازمان‌ها ترجیح می دهند این ابزار را به طور داخلی بدون نیاز به سرپرست برای یادگیری یا مدیریت پلتفرم به طور کامل مدیریت کنند. تا آنجا که ممکن است، باید به دنبال یک ابزار DLP باشید که به شما امکان می دهد همه چیز را از طریق رابط گنجانده شده مدیریت کنید.

گزارش دهی در راه حل های مختلف بسیار متفاوت است. برخی از رابط های گزارش دهی داخلی استفاده می کنند در حالی که برخی دیگر از ابزارهای شخص ثالث مانند Crystal Reports استفاده می کنند. همه ابزارها دارای برخی گزارش های پیش فرض هستند، اما همه ابزارها به شما اجازه نمی دهند گزارش های خود را ایجاد کنید. شما باید به دنبال ترکیبی از گزارشات فنی و غیر فنی باشید، و اگر انطباق مسئله ای است، ابزارهایی را تهیه کنید که گزارش های انطباق را با هم جمع می کنند.

هنگامی که از داده ها در حالت استراحت یا داده های در حال انتقال (نقطه پایانی) استفاده می کنید، به یک رابط مدیریتی نیاز دارید که به شما امکان می دهد خط مشی ها را روی سرورها، فضای ذخیره سازی و نقاط پایانی مدیریت کنید. این ابزار باید از گروه بندی دستگاه، به روزرسانی امضای نورد و سایر ویژگی های مورد نیاز برای مدیریت تعداد زیادی دستگاه پشتیبانی کند.

فراتر از این ویژگی های اساسی، محصولات شروع به متمایز شدن با پیشرفت های دیگر می کنند تا به برآوردن نیازهای خاص شرکت کمک کنند، از جمله:

  • ادغام شخص ثالث، از دروازه های وب گرفته تا ابزارهای پزشکی قانونی.
  • پشتیبانی زبان، شامل مجموعه کاراکترهای دو بایت برای آسیا.
  • ناشناس ماندن موارد نقض خط مشی برای حمایت از الزامات بین المللی حریم خصوصی محل کار.
  • ضبط کامل برای ثبت تمام ترافیک، نه فقط نقض خط مشی.

فرآیند انتخاب DLP

نیازها را مشخص کنید و سازمان خود را آماده کنید.

قبل از شروع به بررسی ابزارها، باید بدانید که چرا به DLP احتیاج دارید، چگونه برای استفاده از آن برنامه ریزی می کنید و فرآیندهای تجاری در زمینه ایجاد خط مشی ها و مدیریت حوادث را بشناسید.

  • شناسایی واحدهای کسب و کار که نیاز به مشارکت دارند و ایجاد یک کمیته انتخاب: ما تمایل داریم که دو نوع واحد کسب و کار را در فرایند انتخاب DLP شامل کنیم – صاحبان محتوا با داده های حساس برای محافظت و محافظان محتوا با مسئولیت اعمال کنترل بر داده ها. مالکان محتوا شامل آن دسته از واحدهای کسب و کار هستند که داده‌ها را در اختیار دارند و از آنها استفاده می کنند. محافظان محتوا شامل بخش هایی مانند منابع انسانی، امنیت فناوری اطلاعات، حقوقی شرکت ها، رعایت و مدیریت ریسک می شوند. پس از شناسایی سهامداران اصلی، می خواهید آنها را برای چند مرحله بعدی گرد هم آورید.
  • آنچه را که می خواهید محافظت کنید تعریف کنید: با ذکر انواع داده ها، تا آنجا که ممکن است، از برنامه DLP برای محافظت استفاده کنید. ما به طور معمول محتوا را به سه دسته تقسیم می کنیم – اطلاعات قابل شناسایی شخصی (PII، شامل مراقبت های بهداشتی، مالی و سایر داده ها)، داده های مالی شرکت ها و مالکیت معنوی. دو مورد اول ساختار بیشتری دارند و شما را به سمت راه حل های خاصی سوق می دهند، در حالی که IP کمتر ساختارمند است، با نیازهای مختلف تجزیه و تحلیل محتوا. حتی اگر می خواهید از همه نوع محتوا محافظت کنید، از این فرایند برای تعیین و اولویت بندی، ترجیحاً “روی کاغذ” استفاده کنید.
  • تصمیم بگیرید که چگونه می خواهید از آن محافظت کنید و انتظارات را تعیین کنید: در این مرحله به دو سوال اصلی پاسخ خواهید داد. اول، در چه کانال‌ها/فازهایی می‌خواهید از داده ها محافظت کنید؟ این جایی است که شما تصمیم می گیرید که آیا فقط نظارت اولیه ایمیل را می خواهید، یا می خواهید داده های جامع در حال حرکت، داده ها در حالت استراحت و حفاظت از داده ها در حال انتقال باشد. کانال های اصلی شبکه، ذخیره داده ها و الزامات نقطه پایانی را لیست کنید. سوال دوم این است که برای چه نوع اجرایی برنامه دارید؟ فقط نظارت و هشدار؟ فیلترینگ ایمیل؟ رمزگذاری خودکار؟ بعداً در مورد الزامات رسمی کمی بیشتر توضیح خواهید داد، اما در این مرحله باید ایده خوبی از انتظارات خود داشته باشید. همچنین، فراموش نکنید که نیازها در طول زمان تغییر می کند، بنابراین توصیه می کنیم شرایط را به صورت کوتاه مدت (ظرف ۶ ماه از استقرار)، میان مدت (۱۲-۱۸ ماه پس از استقرار) و بلند مدت (حداکثر تا ۳ سال پس از استقرار) تقسیم کنید.
  • طرح کلی روند کار: یکی از بزرگترین موانع برای استقرار DLP عدم آماده سازی شرکت است. در این مرحله شما گردش کار مورد انتظار خود را برای ایجاد سیاست های حفاظتی جدید و رسیدگی به حوادث مربوط به خودی و مهاجمان خارجی تعریف می کنید. کدام واحدهای تجاری مجاز به درخواست حفاظت از داده ها هستند؟ چه کسی مسئول ایجاد سیاست ها است؟ وقتی خط مشی نقض می شود، روند کاری برای اصلاح آن چیست؟ منابع انسانی چه موقع مطلع می شوند؟ چه کسی نقض سیاست های روزانه را انجام می دهد؟ آیا این یک نقش امنیتی فنی است یا غیر فنی، مانند مدیر خط مشی ها؟ پاسخ به این نوع سوالات شما را به سمت راه حل های مختلف برای برآوردن نیازهای گردش کار شما راهنمایی می کند.

با اتمام این مرحله شما باید ذینفعان اصلی را مشخص کرده باشید، یک تیم انتخابی تشکیل دهید، داده هایی را که می خواهید از آنها محافظت کنید اولویت بندی کنید، جایی را که می خواهید از آن محافظت کنید تعیین کنید و الزامات جریان کار را برای سیاست های ساختمان و رفع حوادث سخت کنید.

رسمیت بخشیدن به الزامات

این مرحله می تواند توسط یک تیم کوچکتر که تحت دستور کمیته انتخاب کار می کند انجام شود. در اینجا، نیازهای عمومی تعیین شده در فاز ۱ به ویژگی‌های فنی خاصی ترجمه می شود، در حالی که هرگونه الزامات اضافی در نظر گرفته می شود. این زمان آن است که هرگونه معیار برای ادغام فهرست، ادغام دروازه، ذخیره داده ها، استقرار سلسله مراتبی، ادغام نقطه پایانی و غیره ارائه شود. شما همیشه می توانید این الزامات را پس از انجام مراحل انتخاب و درک بهتر نحوه عملکرد محصولات، اصلاح کنید.

در پایان این مرحله شما یک RFI (درخواست اطلاعات) برای انتشار به فروشندگان و یک RFP (درخواست پیشنهادات) خالص تهیه می کنید که در مرحله ارزیابی به طور رسمی ویرایش کرده و منتشر می کنید.

محصولات را ارزیابی کنید

مانند سایر محصولات، گاهی اوقات دشوار است که از مواد بازاریابی استفاده کنید و بفهمید آیا یک محصول واقعاً نیازهای شما را برآورده می کند یا خیر. مراحل زیر باید نگرانی های شما را به حداقل برساند و به شما کمک کند در تصمیم نهایی خود اطمینان داشته باشید:

  • صدور RFI : سازمانهای بزرگتر باید RFI را با وجود کانال‌های تأسیس شده صادر کرده و مستقیماً با چند فروشنده برجسته DLP تماس بگیرند مانند شرکت رایان سامانه آرکا. اگر سازمان کوچکتری هستید، با ارسال RFI خود به یک VAR مورد اعتماد شروع کنید و به تعدادی از فروشندگان DLP که برای سازمان شما مناسب به نظر می رسد ایمیل بزنید مانند شرکت رایان سامانه آرکا.
  • یک ارزیابی کاغذی انجام دهید: قبل از آوردن کسی به داخل، هرگونه پیش نیاز از فروشنده یا منابع دیگر را با RFI خود مطابقت دهید و RFP را پیش نویس کنید. هدف شما ایجاد یک لیست کوتاه از ۳ محصول است که با نیازهای شما مطابقت دارد. همچنین باید از منابع تحقیق خارجی و مقایسه محصولات استفاده کنید مانند محصولات Safetica و Zecurion.
  • ۳ فروشنده برای ارائه در محل و ارزیابی ریسک بهمراه داشته باشید: تقریباً هر فروشنده DLP خوشحال می شود که محصول خود را در حالت دمو برای چند روز، با مجموعه ای از قوانین اساسی، نصب کند. شما می خواهید تا حد امکان محصولات را با یکدیگر همپوشانی کنید تا نتایج را مستقیماً بر اساس ترافیک یکسان در یک بازه زمانی مشابه مقایسه کنید. این همچنین اولین شانس شما برای ملاقات مستقیم با فروشندگان (یا VAR شما) و دریافت پاسخ‌های دقیق تر برای هر سوالی است. برخی از فروشندگان ممکن است (به طور قانونی) قبل از اختصاص منابع برای هرگونه تظاهرات در محل، به ویژه برای سازمان‌های کوچکتر، درخواست RFP رسمی کنند.
  • RFP خود را نهایی کنید و آن را به لیست فروشندگان کوتاه خود ارسال کنید: در این مرحله شما باید الزامات خاص خود را کاملاً درک کرده و یک RFP رسمی صادر کنید
  • ارزیابی پاسخ های RFP و شروع آزمایش محصول: نتایج RFP را مرور کنید و هر کس را که هیچ یک از حداقل الزامات شما را برآورده نمی کند (مانند ادغام فهرست)، برعکس ویژگی های “خوب است” کنار بگذارید. سپس هر گونه محصول باقیمانده را برای آزمایش داخلی بیاورید. برای آزمایش صحیح محصولات، آنها را در حالت نظارت غیرفعال در شبکه خود قرار دهید و برخی از مجموعه قوانین را بارگذاری کنید که نشان دهنده انواع قوانینی است که در تولید به کار می برید. این به شما این امکان را می دهد که محصولات را در کنار یکدیگر، با رعایت قوانین معادل، در ترافیک یکسان مقایسه کنید. شما همچنین می خواهید هر ویژگی خاص دیگری را که در لیست اولویت های شما قرار دارد، آزمایش کنید.
  • انتخاب، مذاکره و خرید: آزمایش را به پایان برسانید، نتایج را به کمیته انتخاب کامل برسانید و مذاکره با گزینه برتر ما را آغاز کنید.

تست داخلی

آزمایش داخلی آخرین شانس برای یافتن مشکل در روند انتخاب شما است. اطمینان حاصل کنید که محصولات را تا حد امکان آزمایش کرده اید. در صورت امکان چند جنبه کلیدی برای آزمایش وجود دارد:

  • ایجاد خط مشی و تجزیه و تحلیل محتوا. سیاست ها را نقض کنید و سعی کنید از ابزار اجتناب کنید یا آن را دور بزنید تا بدانید محدوده آن کجاست.
  • ادغام ایمیل.
  • گردش کار حادثه – رابط کار را با کارمندانی که مسئولیت اجرا را بر عهده خواهند داشت، مرور کنید.
  • ادغام دایرکتوری.
  • ادغام ذخیره سازی در سیستم عامل های اصلی برای آزمایش عملکرد و سازگاری برای حفاظت از داده ها در زمان استراحت.
  • قابلیت نقطه پایانی در تصویر استاندارد شما.
  • عملکرد شبکه – نه فقط پهنای باند ، بلکه هرگونه الزامات برای ادغام محصول در شبکه و تنظیم آن. آیا لازم است ترافیک را از قبل فیلتر کنید؟ آیا باید ترکیب پورت و پروتکل را مشخص کنید؟
  • ادغام دروازه شبکه.
  • اقدامات اجرایی

نتیجه

حرکت در پیچ و خم

پیشگیری از نشت داده ها بازار مبهمی است، اما با درک قابلیت های ابزارهای DLP و استفاده از یک فرآیند انتخاب ساختار یافته، می توانید یک ابزار مناسب برای نیازهای خود انتخاب کنید. در این زمینه با شرکت رایان سامانه آرکا مشورت کنید.

ما از ابتدای این بازار با صد یا چند سازمان ارزیابی DLP کار کرده ایم. از نقطه نظر فنی بزرگترین مانع برای استقرار موفقیت آمیز DLP اینست که معمولا انتظارات نامناسب و عدم آمادگی برای فرآیند کسب و کار و گردش کار DLP است.

انتظارات خود را به درستی تنظیم کنید. DLP یک ابزار بسیارموثر برای جلوگیری از افشای تصادفی و پایان دادن به فرایندهای مخرب کسب و کار در حین استفاده از داده های حساس است.

قبل از شروع فرایند انتخاب، درک روشنی از واحدهای تجاری و نحوه برخورد با تخلفات داشته باشید. پس از استقرار زمان بندی است برای درک اینکه افراد اشتباه نقض خط مشی را مشاهده می کنند، یا خرید جدید شما قادر به محافظت از داده های حساس یک واحد کسب و کار نیست که در فرایند انتخاب گنجانده نشده است.

محصولات DLP ممکن است نابالغ باشند، اما ارزش بسیار بالایی را برای سازمان‌هایی که به درستی برنامه ریزی کرده اند و نحوه استفاده کامل از آنها را درک کرده اند، ارائه می دهند. تمرکز بر ویژگی هایی که برای شما به عنوان یک سازمان بسیار مهم است، توجه ویژه ای به ایجاد سیاست و گردش کار و همکاری با واحدهای تجاری اصلی در مراحل اولیه داشته باشید.

اکثر سازمان هایی که DLP را مستقر می کنند، کاهش قابل توجهی از ریسک را با چند مورد مثبت کاذب و وقفه در کسب و کار مشاهده می کنند.

21 اکتبر 2020

خطای ریموت دسکتاپ و عدم اعتبارسنجی

خطای ریموت دسکتاپ و عدم اعتبارسنجی

خطای ‘The connection was denied because the user account is not authorized for remote login’ یا خطای ریموت دسکتاپ و عدم اعتبارسنجی معمولاً هنگامی رخ می دهد که حساب کاربری که از آن برای اتصال از راه دور به سیستم هدف استفاده می کنید مجوز کافی ندارد. این خطا در گذشته نیز برای بسیاری از کاربران رخ داده است و به نظر می رسد ویندوز ۱۰ نیز از این قاعده مستثنی نیست. به محض تلاش برای ایجاد اتصال ، کاربران گزارش داده اند که پیام خطای گفته شده برایشان نمایش داده می شود.

خطای ریموت دسکتاپ و عدم اعتبارسنجی - خطا

از ارتباط از راه دور می توان برای موارد مختلف مانند عیب یابی خطاها در یک سیستم هدف و غیره استفاده کرد ، با این حال ، این ویژگی دارای تعدادی خطا است. برای دور زدن این مسئله خاص ، می توانید راه حل هایی که در زیر آورده ایم را دنبال کنید.

چه عواملی باعث بروز این خطا در ویندوز ۱۰ می شود؟

علت خطا در خود پیام خطا است!

مجوزهای ناکافی: وقتی حساب کاربری شما مجوز کافی برای برقراری ارتباط با میزبان مورد نظر را ندارد ، خطا ظاهر می شود.
سرویس RD: در برخی موارد ، مشکل ممکن است در صورت عدم پیکربندی کاربر ورود به سیستم Remote Desktop باشد.

با این اوصاف، می توانید با استفاده از راه حل های زیر با خطا مقابله کنید. هنگام اجرای راهکارهای ارائه شده، حتماً از حساب ادمین استفاده کنید.

راه حل ۱: ایجاد یک گروه امنیتی جدید برای خطای ریموت دسکتاپ و عدم اعتبارسنجی

برای رفع این مشکل، ممکن است بخواهید یک گروه امنیتی جدید ایجاد کنید که اعضای آن قدرت برقراری ارتباط از راه دور دسک تاپ را داشته باشند. در اینجا نحوه انجام این کار ذکر شده است:

  1. Windows Key + R را فشار دهید تا Run باز شود.
  2. secpol.msc” را تایپ کرده و Enter را فشار دهید.
  3. به مسیر Local Policies > User Rights Assignment بروید.
  4. از لیست خط مشی ها، Allow log on through Remote Desktop Services را پیدا کنید و روی آن دوبار کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - لوکال پالیسی
  5. در صورت عدم وجود گروه Remote Desktop Users در زیر Administrators، دستورالعمل های زیر را دنبال کنید. اگر از قبل وجود دارد، به راه حل بعدی بروید.
  6. روی Add User or Group کلیک کنید و زیر ‘Enter the object names to select’ ، گروه Remote Desktop Users را وارد کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - یوزر
  7. OK را بزنید.
  8. سیستم خود را ریستارت کنید تا وارد سیستم شود، در غیر اینصورت می توانید دستور زیر را در خط فرمان با دسترسی ادمین وارد کنید:
gpupdate /force

خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - پالیسی آپدیت

راه حل ۲: دسترسی به حساب کاربری خود در خطای ریموت دسکتاپ و عدم اعتبارسنجی

در برخی موارد ، اگر حساب کاربری که برای برقراری اتصال از راه دور استفاده می کنید عضوی از گروه کاربران از راه دور دسک تاپ نباشد ، با خطای ذکرشده اعلان می شود. در چنین سناریویی ، باید آن را در گروه Remote Desktop Users اضافه کنید. در اینجا نحوه انجام این کار آمده است:

  1. Winkey + R را فشار دهید تا Run باز شود.
  2. lusrmgr.msc را وارد کنید و Enter را فشار دهید.
  3. روی Users کلیک کنید و سپس روی حساب کاربری خود دوبار کلیک کنید.
  4. به برگه Member Of بروید.خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - ویژگی ها
  5. در صورت عدم وجود گروه Remote Desktop Users در زیر Administrators، روی Add کلیک کنید.
  6. Advanced را انتخاب کنید و سپس روی Find now کلیک کنید.
  7. از لیست ، بر روی Remote Desktop Users دوبار کلیک کرده و OK را کلیک کنید.خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - گروه ها
  8. حساب کاربری شما اکنون عضو گروه Remote Desktop User است.
  9. اکنون سعی کنید ارتباط برقرار کنید.

راه حل ۳: بررسی ورود به سیستم Remote Desktop Service در خطای ریموت دسکتاپ و عدم اعتبارسنجی


اگر سرویس دسک تاپ راه دور شما از سرویس محلی به جای شبکه سرویس به عنوان ورود کاربر استفاده می کند ، این امر نیز می تواند باعث بروز این مشکل شود. با تغییر در Network Service می توانید این مشکل را برطرف کنید. در اینجا نحوه انجام این کار آمده است:

  1. Windows Key + R را فشار دهید تا Run باز شود.
  2.  ‘services.msc‘ را وارد کنید و Enter را فشار دهید.
  3. Remote Desktop Service را پیدا کرده و سپس روی آن دوبار کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - سرویس ها
  4. به برگه Log On بروید.
  5. اگر حساب Local Service انتخاب شده باشد، باید آن را تغییر دهید. روی Browse کلیک کنید.
  6. Advanced را انتخاب کنید و سپس روی Find now کلیک کنید.
  7. از لیست ، روی Network Service دوبار کلیک کرده و OK را کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - یوزر ها
  8. با کلیک راست روی سرویس و انتخاب Restart، سرویس را ریستارت کنید.

 

پایان مقاله خطای ریموت دسکتاپ و عدم اعتبارسنجی .

شرکت رایان سامانه آرکا

27 سپتامبر 2020

رفع خطای CredSSP در ریموت دسکتاپ

رفع خطای CredSSP Encryption Oracle Remediation در ریموت دسکتاپ (Remote Desktop)

 

رفع خطای CredSSP Encryption Oracle Remediation در ریموت دسکتاپ

 

آسیب پذیری اجرای کد از راه دور در پروتکل Credential Security Support Provider (CredSSP) وجود دارد. مهاجمی که با موفقیت از این آسیب پذیری سو استفاده کرده می تواند اطلاعات کاربری ریموت دسکتاپ را رد کند و از آنها برای اجرای کد در سیستم هدف استفاده کند.

CredSSP  یک ارائه دهنده احراز هویت است که درخواست های تأیید اعتبار برای برنامه های دیگر را پردازش می کند. هر برنامه ای که برای احراز هویت به CredSSP بستگی دارد ممکن است در برابر این نوع حمله آسیب پذیر باشد.

به عنوان نمونه ای از اینکه چگونه یک مهاجم می تواند از این آسیب پذیری در برابر پروتکل دسک تاپ از راه دور سوء استفاده کند، مهاجم باید یک برنامه خاص ساخته شده را اجرا کند و یک حمله man-in-the-middle را در برابر نشست RDP انجام دهد. سپس یک مهاجم می تواند برنامه ها را نصب، مشاهده ، تغییر یا داده ها را حذف کند یا حسابهای جدید با حقوق کامل کاربر ایجاد کند.

به روزرسانی امنیتی با تصحیح چگونگی اعتبارسنجی پروتکل Credential Security Support Provider (CredSSP) در طی مراحل احراز هویت ، این آسیب پذیری را برطرف می کند.

سناریو

حمله man in the middle
man in the middle attack

نشست RDP

به روزرسانی منتشر شده توسط مایکروسافت (KB 4093492) در تاریخ ۸ مه ۲۰۱۸ برای سیستم عامل ویندوز ۱۰ برای تغییر تنظیمات پیش فرض CredSSP از Vulnerable به Mitigated در نظر گرفته شد.

لیست کاملی از به روزرسانی ها و وصله های مربوط به همه سیستم عامل ها را می توانید از اینجا دریافت کنید.

با این حال ، وصله ارائه شده این مسئله باعث شد که ارتباط کلاینت های وصله شده با سرورهای وصله نشده از طریق پروتکل های RDP  مسدود شود.

گزارش شده است که این امر باعث ایجاد خطایی توسط Windows RDP می شود به شرح زیر:

خطای ریموت دسکتاپ

[Window Title]
Remote Desktop Connection
[Content]
An authentication error has occurred.
The function requested is not supported
Remote computer: XXX.XXX.XXX.XXX
This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660

 

راه حل های رفع خطای CredSSP در ریموت دسکتاپ

راهکار اول رفع خطای CredSSP در ریموت دسکتاپ:

اول اینکه سیستمی که به آن ریموت می زنید را آپدیت نمایید، در صورت آپدیت شدن این خطا رفع خواهد شد ولی اگر به هر حالت ممکن قادر به آپدیت کردن سیستم نبودید از راه کارهای بعدی استفاده نمایید.

 

 راهکار دوم رفع خطای CredSSP در ریموت دسکتاپ:

در سیستم کلاینت Run (Win+R) رو باز کنید و از طریق دستور gpedit.msc وارد Local Group Policy میشویم.

computer configuration > administrative Template > system > Credential Deligation

 

local group policy

 

در local group policy مسیر زیر را دنبال کنید:

computer configuration > administrative Template > system > Credential Deligation

مسیر local group policy

 

فایل Encryption Oracle Remediation را ویرایش کرده و مطابق شکل زیر انجام دهید.

فایل Encryption Oracle Remediation

 

در انتها دستور gpupdate /force را در محیط cmd اجرا کنید تا group policy آپدیت شود:

group policy update

 

راهکار سوم رفع خطای CredSSP در ریموت دسکتاپ:

یک فایل رجیستری به نام rdp_insecure_on.reg با محتویات زیر ایجاد کنید و بر روی سیستم مورد نظر اجرا و سپس اقدام به ریستارت مجدد کنید.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] “AllowEncryptionOracle”=dword:00000002

 

راهکار چهارم رفع خطای CredSSP در ریموت دسکتاپ:

برداشتن تیک allow connections only from computers running remote desktop with network level authentication

allow remote desktop

 

توجه: بهترین روش و پیشنهاد مایکروسافت، نصب آخرین آپدیت ها بر روی سرور می باشد.

خطای ریموت دسکتاپ

پایان مقاله.

16 آگوست 2020

کرونا بازار «وب تاریک» را رونق داد!

مؤسسه اطلاعات سایبری Sixgill از جمله مراکز فعال برای کشف بازارهای سیاه اینترنتی، این هفته گزارش ۱۷صفحه‌ای خود را که حاصل یک مطالعه وسیع در سطح جهانی است، منتشر کرد و توضیح داد با همه‌گیری ویروس کرونا و خانه نشینی مردم، دلال‌های مواد مخدر و دارو فعالیت خود را در سطح خیابان کاهش داده‌اند و در عوض روی فضای آنلاین تمرکز ویژه دارند تا بازار خود را از دست ندهند. در این گزارش آمده، میزان فروش غیرقانونی داروهایی که به نوعی با درمان بیماری کرونا مرتبط هستند در فضایی که از آن با نام «وب تاریک» یا «دارک وب» (Dark Web) یاد می‌شود ۴۹۵ درصد افزایش یافته است و حتی در بعضی از این بازارها اقلامی به‌عنوان «واکسن کرونا» یا «داروی قطعی درمان کرونا» هم به چشم می‌خورد. در همین دوره زمانی میزان فروش داروهای روان گردان در بازارهای زیرزمینی اینترنتی ۲۲۴ درصد و میزان فروش مواد مخدر ۵۵۵ درصد بیشتر شده است. با این توضیحات این سؤال مطرح می‌شود که، فضایی به‌عنوان «وب تاریک» چگونه فعالیت می‌کند که مراکز امنیت سایبری نمی‌توانند جلوی آن را بگیرند؟

 

 

این بازارهای تاریک وب
«وب تاریک» به شبکه‌ای گفته می‌شود که از دسترس عموم کاربران خارج است و از آن برای مقاصد غیرقانونی استفاده می‌شود. این قبیل شبکه‌ها که توسط گروه‌های ناشناس مدیریت می‌شوند با افراد مختلف نظیر هکرها، فروشندگان مواد مخدر، آدم‌ربایان، قاتل‌ها، تروریست‌ها و… همکاری می‌کنند و این فضا را می‌توان بخشی از یک شبکه بزرگتر و پیچیده‌تر به‌نام «وب پنهان» دانست. وب تاریک را در اصل مجموعه سایت‌هایی می‌دانند که جست‌وجوگرهای اینترنتی قادر به شناسایی آنها نیستند و در بیشتر موارد برای مخفی نگه‌ داشتن هویت خود از ابزار رمزگذاری Tor استفاده می‌کنند و پسوند onion. را برای خود برمی‌گزینند.
گزارش مفصلی که مؤسسه اطلاعات سایبری Sixgill هم‌اکنون منتشر کرده است نشان می‌دهد همزمان با همه‌گیری ویروس کرونا میزان فعالیت این قبیل سایت‌ها افزایش یافته است و در این میان چون هنوز هیچ مرکز علمی در جهان واکسن یا داروی قطعی درمان کرونا ارائه نکرده است، برخی فروشگاه‌های غیرقانونی فعال در این حوزه تبلیغات مرتبط با این بیماری را ممنوع کردند.
سایت اینترنتی «مونوپولی مارکت» که از مواد مخدر تا داروهای استروئیدی را به‌صورت غیرقانونی به فروش می‌رساند با انتشار پیامی اعلام کرد که اجازه فروش داروهای تأیید نشده برای درمان کرونا را نمی‌دهد. این سایت از بازیگران تازه وارد عرصه دارک وب است و در آن فقط ۱۰۰فروشنده فعال مشغول به کار هستند که البته بخش اعظم آنها به خرید و فروش دارو و بیت کوین می‌پردازند. از زمان شیوع کرونا درخواست فروشندگان برای عرضه داروهای مرتبط با این بیماری در فروشگاه‌های مخفی اینترنتی بیشتر شده است و مدیران این سایت و دیگر مراکز مشابه برای آنکه فریب نخورند، اجازه عرضه چنین داروهایی را در شرایط کنونی نمی‌دهند. «مونوپولی مارکت» در بیانیه‌ای که روی یکی از فروم‌ها منتشر کرده است توضیح داد: «هر فروشنده‌ای که داروی جعلی را به‌عنوان درمان ویروس کرونا ارائه کند نه تنها به طور دائم از این مرکز حذف می‌شود، بلکه دیگر سایت‌های زیرزمینی وابسته هم با او همکاری نخواهند کرد.»
مرکز Sixgill به این نتیجه رسیده است که با وجود پیشرفته‌تر شدن ابزارهای امنیت سایبری و تمرکز هرچه بیشتر دولت‌ها برای جلوگیری از فعالیت‌های زیرزمینی آنلاین، تعداد سایت‌های فعال در عرصه دارک وب، روز به روز در حال افزایش است. اگرچه یکی از بزرگترین فروشگاه‌های آنلاین فعال با نام «اونیموس» سال ۲۰۱۳ میلادی غیرفعال شد، ولی دیگر سایت‌ها نظیر سیلک‌رود۲، آگورا، اِولوشن، پاندورا، هایدرا و… همچنان فعالیت می‌کنند و میانگین درآمد روزانه هر کدام از آنها بین ۳۰۰ تا ۵۰۰ هزار دلار برآورد می‌شود که البته در برخی موارد درآمد روزانه آنها به ۶۵۰ هزار دلار هم می‌رسد.
البته در گزارشی که به تازگی منتشر شده است، گفته شده بیشتر دلال‌هایی که با این سایت‌ها همکاری می‌کنند درآمد قابل ملاحظه‌ای به دست نمی‌آورند. بررسی‌ها نشان می‌دهد ۷۰ درصد تمام فروشندگانی که در وب تاریک مشغول فعالیت‌های غیرقانونی هستند کالاهای با ارزش کمتر از ۱۰۰۰ دلار عرضه می‌کنند و در این بین ارزش مالی کالاهای عرضه شده توسط ۱۸ درصد آنها بین ۱۰۰۰ تا ۱۰ هزار دلار برآورد می‌شود. همچنین مشخص شد تنها ۲ درصد فروشندگان، کالاهایی با ارزش بیش از ۱۰۰ هزار دلار را در بازارهای پنهانی آنلاین می‌فروشند که البته آنها هم افرادی محدود و شناخته شده هستند. با این حال همان تعداد محدودی که کالاهای گران‌تر را عرضه می‌کنند، بخش اعظم درآمدهای مربوط به این بازارهای سیاه را به دست می‌آورند. در مطالعه جدید مشخص شد ۳۵درصد فروشندگان طی یک سال گذشته در مجموع یک میلیون دلار درآمد به دست آوردند و در این میان یک درصد فروشندگان در دارک وب توانستند هر کدام بیش از ۵ میلیون دلار کسب درآمد کنند.
وب تاریک با اقلام عجیب و ترسناک
دارو و مواد مخدر تنها محصولات پرفروش در دنیای سیاه وب محسوب نمی‌شود. سال ۲۰۱۸ میلادی تنها چند هفته قبل از انتخابات میان دوره ریاست جمهوری ایالات متحده تمام محتوای ذخیره شده در یکی از پایگاه‌های داده این کشور شامل اطلاعات رأی‌گیری مربوط به ۳۵ میلیون شهروند امریکایی سرقت و در یکی از سایت‌های مخفی دارک وب عرضه شد. این داده‌ها که روی یکی از فروم‌های هکری منتشر شده بود تمام اطلاعات شخصی رأی دهندگان از جمله نام، شماره تلفن، آدرس محل سکونت و سابقه رأی دادن آنها را دربر می‌گرفت.
علاوه بر این، جولای امسال یعنی حدود یک ماه قبل محققان امنیت سایبری از کشف پرونده‌های پزشکی آنلاین درگذشتگان بسیاری از کشورها در یکی از بازارهای غیرقانونی وب خبر دادند. مجرمان سایبری در این اتفاق حجم وسیعی از اطلاعات شخصی ۱۴۰ میلیون بیمار که جان خود را از دست داده بودند، حراج کردند و در بین این داده‌ها، اطلاعات مربوط به حساب بانکی و رمز عبور آنها هم به چشم می‌خورد.
اعضای بدن انسان از جمله اقلام دیگری است که به‌صورت گسترده در دارک وب، خرید و فروش می‌شود و بخصوص برای آن دسته از افرادی که در فهرست انتظار برای پیوند عضو قرار دارند، این بازار همواره مورد توجه قرار می‌گیرد. سازمان بهداشت جهانی اعلام کرده است که سالانه در جهان به طور میانگین حدود ۱۰ هزار پیوند عضو غیرقانونی انجام می‌شود و بخش اعظم آنها زیر نظر گردانندگان سایت‌های دارک وب است. بدیهی است که در این میان هرچه عضو بدن حیاتی‌تر باشد، قیمت آن بالاتر می‌رود. با این توضیح قیمت کبد یا قلب انسان در این قبیل سایت‌ها بین ۱۰۰ تا ۲۰۰ هزار دلار است و هر چشم انسان‌ در این سایت‌ها حدود ۱۲۰۰ دلار معامله می‌شود. کارشناسان همچنین دریافتند از فروش وام بانکی گرفته تا استخدام قاتل و گروه‌های تبهکاری نیز در این سایت‌ها یافت می‌شود و متأسفانه باید گفت این سایت‌ها به خرید و فروش کودکان و قاچاق انسان هم می‌پردازند.
در گزارش جدید اعلام شد بخش اعظم خرید و فروش‌های غیرقانونی دارک وب معادل ۴۶ درصد آنها در فنلاند انجام می‌شود و ۳۰ درصد آن هم در نروژ به فروش می‌رسد. البته بسته به نوع کالا، محل فروش کالاهای عرضه شده در این سایت‌ها در نقاط مختلف جهان تغییر می‌کند. در مجموع تا پایان نیمه نخست سال ۲۰۲۰ میلادی بیش از ۲۰ میلیارد اطلاعات سرقت شده از حساب‌های کاربری در بازار سیاه دارک وب وجود داشته است و میانگین قیمت هر حساب کاربری شبکه‌های اجتماعی از جمله فیس‌بوک در این سایت‌ها ۶۰۰ دلار بوده است. میانگین سنی افرادی که در این سایت‌ها اقدام به خرید اجناس مختلف بخصوص مواد مخدر می‌کنند ۲۱ سال است و بیشتر آنها مرد هستند. مؤسسه اطلاعات سایبری Sixgill هشدار داد اگر شرایط به همین شکل دنبال شود و جلوی فعالیت این قبیل سایت‌ها گرفته نشود، در آینده نه چندان دور دنیای دارک وب برای همه کشورها مشکلات عدیده ایجاد می‌کند و حتی سازمان‌های بزرگ نظیر پلیس فدرال امریکا هم نمی‌توانند جلوی فعالیت‌های آن را بگیرند.